DeFi bajo asedio: ¿Cómo lograron los hackers robar $24 millones en criptomonedas?
El 30 de julio, varios protocolos de finanzas descentralizadas (DeFi) fueron objeto de un ataque que resultó en la pérdida de criptomonedas valoradas en más de $24 millones.
Los atacantes aprovecharon una vulnerabilidad en las pools de liquidez de Curve, una plataforma de intercambio automatizado (AMM). Entre las víctimas se encontraba el protocolo de préstamos NFT, JPEG'd, que perdió $11 millones en criptomonedas.
Este protocolo tenía un valor total bloqueado de aproximadamente $32 millones y permitía a los usuarios utilizar NFT como garantía para préstamos. Según CoinMarketCap, el token de gobernanza JPEG experimentó una caída del 24,6% al momento de redactar este artículo.
Tabla de contenidos
Hechos claves
- Ataque DeFi el 30 de julio resultó en la pérdida de $24 millones en criptomonedas.
- JPEG'd, un protocolo NFT, perdió $11 millones en el ataque.
- Alchemix y Metronome DAO también sufrieron pérdidas significativas de $13,6 millones y $1,6 millones, respectivamente.
- Hackers aprovecharon vulnerabilidad en pools de liquidez de Curve para realizar intercambios fraudulentos.
- Vyper, lenguaje de programación responsable de la falla en los contratos inteligentes.
Vulnerabilidad en las Pools de Liquidez de Curve
La vulnerabilidad fue inicialmente descrita por Curve como un simple y evitable exploit de «re-entrancia» de solo lectura. Sin embargo, posteriormente se aclaró esta afirmación.
No obstante, JPEG'd no fue la única víctima de este problema, ya que Alchemix y Metronome DAO también sufrieron pérdidas similares, de $13,6 millones y $1,6 millones, respectivamente.
Un bot de valor máximo extraíble (MEV) detectó la transacción del atacante y pagó una tarifa para realizar una transacción similar antes que él, adelantándose al atacante.
Se descubrió que Vyper, un lenguaje de programación de terceros para contratos inteligentes de Ethereum, fue el responsable de la falla.
Vyper afirmó que el compilador del lenguaje de programación falló. A pesar de que se habían implementado salvaguardias contra re-entrancias en el código de los proyectos y se suponía que protegían contra ataques de este tipo, esto los dejó inoperables ante el ataque.
La plataforma Curve ha ganado popularidad como una solución automatizada para el intercambio de activos en DeFi. Su función principal es facilitar intercambios eficientes y de bajo deslizamiento entre activos similares, como stablecoins.
Curve logra esto al aprovechar pools de liquidez que contienen diferentes criptomonedas con una paridad cercana al dólar. Los usuarios pueden agregar sus fondos a estas pools para obtener ganancias a través de comisiones por intercambio.
Sin embargo, este modelo de pools de liquidez también ha atraído la atención de los hackers. En el caso del ataque del 30 de julio, los atacantes explotaron una vulnerabilidad en el mecanismo de manejo de la liquidez de Curve. Esta vulnerabilidad les permitió realizar una serie de intercambios de alto volumen, lo que resultó en una pérdida sustancial para varios protocolos DeFi que confiaban en la integridad de las pools de liquidez de Curve.
El Protocolo NFT JPEG'd: $11 Millones en Pérdidas
JPEG'd es un protocolo DeFi centrado en el préstamo de activos digitales no fungibles (NFT). Permite a los usuarios utilizar sus NFT como garantía para obtener préstamos en criptomonedas.
Aunque el protocolo tenía un valor total bloqueado de aproximadamente $32 millones, los atacantes lograron robar $11 millones en criptomonedas, lo que representa una pérdida significativa para los usuarios y el ecosistema DeFi en general.
Este ataque puso de manifiesto la importancia de auditar cuidadosamente los contratos inteligentes y las implementaciones de DeFi antes de su lanzamiento. También subraya la necesidad de contar con salvaguardias sólidas para proteger los fondos y activos de los usuarios.
Aunque JPEG'd pudo haber implementado medidas de seguridad, la vulnerabilidad en las pools de liquidez de Curve permitió a los atacantes evadir estas protecciones y llevar a cabo su ataque.
Ataques en Serie: Otras víctimas de la vulnerabilidad
JPEG'd no fue la única plataforma afectada por el ataque. Alchemix, un protocolo que ofrece préstamos sintéticos respaldados por futuros rendimientos, también sufrió pérdidas significativas de $13,6 millones.
De manera similar, Metronome DAO, que se centra en la gobernanza y emisión de la criptomoneda MET, perdió $1,6 millones debido a la explotación de la vulnerabilidad en las pools de liquidez de Curve.
Estos ataques demuestran que la seguridad sigue siendo un desafío importante en el espacio DeFi. A medida que el ecosistema DeFi continúa creciendo y atrayendo una mayor cantidad de usuarios y fondos, la protección contra vulnerabilidades y ataques maliciosos se vuelve fundamental para garantizar la confianza y la viabilidad a largo plazo de estos protocolos.
Lecciones aprendidas
El ataque a las pools de liquidez de Curve, que resultó en la pérdida de $24 millones en criptomonedas de varios protocolos DeFi, ha sido una llamada de atención para la comunidad DeFi y los desarrolladores.
A pesar de los avances en la seguridad y las buenas prácticas, los hackers siguen encontrando formas de explotar vulnerabilidades y robar fondos.
Es crucial que los equipos de desarrollo realicen auditorías exhaustivas y pruebas rigurosas antes de lanzar cualquier protocolo DeFi. Otro factor fundamental es la colaboración entre proyectos para compartir información sobre amenazas y vulnerabilidades podría ayudar a fortalecer todo el ecosistema de finanzas descentralizadas.
✋Este artículo se basa en información verificable proporcionada por fuentes confiables. Los datos y cifras presentados son precisos hasta la fecha de publicación y están sujetos a cambios en el futuro. Se recomienda a los lectores verificar la información de forma independiente y consultar con profesionales financieros antes de tomar decisiones de inversión.
Nuestros artículos tienen una licencia WTFPL . De nada.