© 2020 Bitcoin Mexico - El mejor portal Bitcoin.
All rights reserved.
Contact by email info@bitcoin.com.mx.
Piratas informáticos tomaron el valor de 630 mil dólares en el activo digital ether (ETH) después de explotar una fuente de precios del proyecto de préstamo basado en ethereum bZx.
El ataque, es el segundo realizado en menos de una semana, y comenzó posterior a las 03:00 UTC del martes, cuando los atacantes aparentemente se hicieron con un préstamo de 7 mil 500 ether (aproximadamente $ 1.98 millones de dólares), utilizando 3.518 ETH con la finalidad de adquirir dólares sintéticos, una Stablecoin que utilizaron como garantía para pedir un préstamo a bZx, de acuerdo con un analista en Twitter.
Posteriormente utilizaron 900 ETH con el objetivo de aumentar el valor de la criptomoneda a través de una fuente de precios integrada del proveedor de liquidez Kyber Network hasta que su valor llegó a 2 dólares. Utilizando esta garantía inflada, obtuvieron otro préstamo de 6.796 ETH el cual fue utilizado para pagar el préstamo original de 7 mil 500 ETH, consiguiendo para sí los dos mil 378 ETH restantes.
Es así que el monto total robado tiene un valor aproximado de 633 mil dólares, de acuerdo con el Índice de precios Ether del portal especializado CoinDesk. Desde su inicio y hasta el final de las transacciones, el ataque solamente requirió poco más de un minuto. A su vez, los piratas informáticos dejaron un préstamo abierto con la mitad de la garantía requerida ahora que el valor de ETH regreso a su vinculación en dólares.
Por tanto, la cantidad total de Ether bloqueado en los contratos de préstamo bZx se vio reducido casi a la mitad de 40 mil ETH a 23 mil ETH desde el momento en que se presentó la explotación, de acuerdo con el sitio de estadísticas DeFi Pulse.
La cuenta oficial de Twitter para bZx confirmó a las 04:38 UTC que el proyecto había suspendido el comercio posterior a detectar "transacciones sospechosas utilizando préstamos flash y comercio en Synthetix". Un portavoz de bZx confirmó en el canal Telegram del grupo que la propia empresa cubriría el déficit.
El ataque se produce posterior a que bZx fue víctima de un ataque flash similar basado en préstamos donde se extrajeron de la plataforma más de 350 mil dólares en criptomonedas. Aún no se ha determinado si los dos ataques fueron realizados por la misma persona o grupo.
De acuerdo con el portal especializado Decrypt, un conjunto inteligente de instrucciones fueron ejecutadas a través de una gran transacción, con la finalidad de permitir a un usuario externo, aprovechar las debilidades actuales en el ecosistema de DeFi para su propio beneficio.
Es así que debido a la utilización de diversas herramientas financieras descentralizadas y una pequeña dosis de manipulación de precios, lograron obtener una gran cantidad de dinero en Ethereum.
Por su parte, el fundador de la firma de inversión de DeFi Stake Capital, Julien Bouteloup, realizó la siguiente imagen con la finalidad de mostrar el grado de dificultad y complejidad requerido para llevar a cabo la transacción de varias capas, además de señalar de forma aproximada, lo que sucedió.
Por medio de su posteo en su cuenta oficial de Twitter, Bouteloup especificó que un préstamo flash de 10 mil Ethereum, podría ser el culpable del fallo. También señaló que la mitad del dinero fue enviada a la plataforma de préstamos Compuesto para pedir prestado Bitcoin envuelto (una versión de Bitcoin en Ethereum).
El resto del dinero fue garantía para el cortocircuito Wrapped Bitcoin (WBTC, token de moneda digital que opera en la plataforma Ethereum) en la plataforma de negociación de margen Fulcrum. La cuenta posteriormente vendió el Wrapped Bitcoin en el protocolo para el intercambio automatizado de tokens en Ethereum Uniswap. El precio se vio disminuido, por lo que el hacker cobró el cortocircuito con una ganancia y devolvió el préstamo inicial.
Sin embargo, el pirata informático no solo logró exponer cómo es que se pueden utilizar una variedad de herramientas de DeFi de manera conjunta para obtener un beneficio personal, sino que también ha destacado qué tan centralizadas son algunas de estas herramientas de DeFi.
Recientemente, bZx, quien mantiene el protocolo Fulcrum, publicó una actualización sobre la situación por medio de un posteo en Twitter, en el que afirmó que ninguno de los usuarios en su plataforma ha perdido dinero.
“Todos los usuarios tienen CERO pérdidas. Anoche hubo un ataque ampliamente reportado que tuvo lugar contra nuestro protocolo. Desde la perspectiva del protocolo, alguien simplemente tomó un préstamo. Desde la perspectiva del prestamista, este préstamo es como cualquier otro”.
La plataforma no dejó de señalar que el atacante dejó 600 mil dólares de Bitcoin envuelto en el intercambio, cantidad que seguramente planeaba tomar para distribuirlo a otros usuarios del intercambio.
Pero, para realizar dicha acción, es necesario que cuente con su "clave de administrador".
"Actualmente, el atacante dejó 600k de garantías de wBTC. Usaremos esto para transmitir el interés y salir de la liquidez a los titulares de iETH existentes. Esto se hará utilizando nuestra clave de administrador. Esta es una decisión extremadamente difícil para nosotros que no lo tomamos a la ligera", agregó en el hilo de conversación bZx.
Esencialmente, esta clave de administrador está integrada en el protocolo y permite que bZx controle cualquiera de los contratos inteligentes, donde se guardan los fondos, como último recurso. El propósito de la clave de administrador es precisamente para uno de estos momentos, donde algo ha salido mal y hay mucho dinero en juego.
Sin embargo, la clave de administrador es la prueba de que hay un punto centralizado de falla y que los usuarios tienen que confiar en el equipo detrás del intercambio para no robar el dinero de los demás participantes. Teniendo en cuenta que todo el propósito de DeFi es eliminar esta confianza, parece ser una debilidad bastante importante.
No es de extrañar que los diversos protocolos DeFi deseen conseguir cierto nivel de seguridad y un ejemplo de ello es el experimento de Ethereum, el objeto de acceso a datos (en inglés, Data Access Object, abreviado DAO), que en un cierto momento contenía casi el 14 por ciento de todo el suministro de Ethereum, se descompuso a causa de un error en dos líneas de código.
Como resultado, toda la cadena de bloques Ethereum tuvo que ser reescrita para que todos los usuarios afectados pudieran recuperar su dinero, sin embargo, esta solución minó la red y generó muchas críticas al respecto.Asimismo, Fulcrum echará mano de su clave de administrador para arreglar el problema, sin embargo, al exponer qué tan centralizado es realmente, creará más preguntas que respuestas.
Te podría interesar: