Los protocolos DeFi Agave y Hundred Finance han sufrido exploits por USD 11 millones
Un hacker se ha hecho con aproximadamente USD 11 millones en ETH (wETH), BTC (wBTC), Chainlink (LINK), USD Coin (USDC), Gnosis (GNO) y XDAI (wxDAI) después de utilizar un ataque de “reentrada” en las aplicaciones del protocolo de préstamos descentralizados (DeFi) Agave y Hundred Finance.
El ataque se produce 24 horas después de la noticia del exploit de Deus Finance, donde los hackers robaron más de USD 3 millones en Dai (DAI) y Ether (ETH) de la plataforma de contratos de préstamo.
El token AGVE de Agave cayó un 20% tras el ataque, según datos de CoinGecko. El token de Hundred Finances, HND, cayó un 3.5% tras anunciarse el exploit. Sin embargo, desde entonces se ha recuperado para alcanzar un máximo de 24 horas.
“Agave está investigando actualmente un exploit en el protocolo de finanzas de agave“, tuiteó Agave el martes. “Los pondremos al día tan pronto como sepamos más”. Señaló que los contratos se han puesto en pausa hasta que se resuelva la situación.
El equipo de Hundred Finance también tuiteó que había sufrido un exploit en la cadena Gnosis y ha puesto en pausa sus mercados mientras realiza las investigaciones.
Según el análisis on-chain, la dirección asociada al atacante ha enviado más de 2,100 ETH, valorados en más de USD 5.5 millones, a un mezclador de criptomonedas en un intento de lavar los tokens robados.
La desarrolladora de Solidity y creadora de una aplicación de protocolo de liquidez NFT, Shegen (@shegenerates), tuiteó que había perdido USD 225,000 en el exploit. Sus investigaciones revelaron que el ataque funcionaba explotando una función de contrato wETH en Gnosis Chain, lo que le permitía al atacante seguir tomando prestadas criptomonedas antes de que las aplicaciones pudieran calcular la deuda impidiendo más préstamos.
El atacante ejecutaba este exploit, pidiendo prestado continuamente contra la misma garantía que estaban publicando hasta que los fondos eran drenados de los protocolos.
Shegen le dijo a Cointelegraph que, si bien el contrato inteligente de Agave es esencialmente el mismo que el de Aave, que asegura USD 18.4 mil millones, “todos los investigadores de seguridad lo han auditado”, dijo. “Así que es razonable asumir que el contrato es seguro”.
“Creo que este hackeo destaca más que algunos más grandes”, dijo Shegen, señalando que incluso si se trata de un hackeo más pequeño en comparación con otros que robaron millones más, similitud con Aave significa que “parece seguro en un primer nivel, pero no lo era, y esa ruptura de la confianza duele”.
“Es como si no se pudiera confiar en un código ‘seguro’.”
El investigador de seguridad de blockchain Mudit Gupta dice que la diferencia entre Aave y Agave es que “Aave comprueba activamente la reentrada antes de listar los tokens en la red principal para evitar ataques similares.”
Shegen declaró que no culpaba a los desarrolladores de Agave por no haber evitado el ataque.
“Agave se utilizó de forma insegura”, dijo. “Tal vez el desarrollador no debería haber permitido que se utilizaran tokens con callbacks en la plataforma, o haber añadido más guardias de reentrada”.
“Curve, por ejemplo, no fue hackeada hoy, porque tiene guardias de reentrada adicionales, pero realmente no culpo a Luigy y al equipo de Agave porque es muy poco probable que esto haya sucedido, y se le escapó a mucha gente.”
Shegen tampoco culpó a Gnosis por crear tokens con una función de devolución de llamada que el hacker explotó, ya que la característica evita que los usuarios pierdan accidentalmente sus criptomonedas.
“Esa es en realidad una gran característica para los tokens con puente; es solo una circunstancia realmente desafortunada, pienso yo”.
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
