Hay mucho dinero fluyendo hacia DeFi. Y gracias a hacks y exploits, a veces también sale mucho dinero.
Las finanzas descentralizadas (DeFi) se refieren a las aplicaciones de blockchain que eliminan a los intermediarios de productos y servicios financieros como préstamos, ahorros y swaps. Si bien DeFi viene con grandes recompensas, también conlleva muchos riesgos.
Dado que casi cualquier persona puede activar un protocolo DeFi y escribir algunos contratos inteligentes, las fallas en el código son comunes. Y en DeFi, hay muchos actores sin escrúpulos listos y capaces de explotar esos defectos. Cuando eso sucede, se ponen en juego millones de dólares, a menudo sin recurso para los usuarios.
Los usuarios de DeFi perdieron $ 10.5 mil millones por robo en 2021, según un informe de noviembre de Elliptic. Pero como muestra nuestra lista de los mayores exploits de DeFi, esa cifra ha crecido en millones desde entonces. (Todas las cifras a continuación corresponden a los valores de los fondos en el momento del incidente).
13. Grim Finance: $30 Milliones
A menudo, las dApps se inspiran temáticamente en las cadenas de bloques en las que están construidas. Como resultado, el ecosistema de Avalanche está repleto de referencias de nieve, como Snowtrace, Blizz y Defrost. Mientras tanto, el ecosistema Fantom se siente como una fiesta de Halloween en cadena. Eso agrega un giro más oscuro cuando las cosas van mal, como fue el caso de Grim Finance, un protocolo optimizador de rendimiento.
En diciembre de 2021, el protocolo sufrió un ataque de reingreso, un tipo de exploit en el que un atacante falsifica depósitos adicionales en una bóveda mientras aún no se ha liquidado una transacción anterior. Eventualmente, el ataque engañó al contrato inteligente para que liberara $30 millones en tokens de Fantom.
Los protocolos DeFi normalmente usan guardias de reentrada, piezas de código que evitan tales ataques. El informe de auditoría de Grim Finance de Solidity Finance declaró incorrectamente que el protocolo tenía guardias de reingreso, un recordatorio de que las auditorías no son garantía de que las vulnerabilidades no sucedan.
12. Meerkat Finance: $31 Milliones
A veces, un protocolo DeFi no tarda mucho en sufrir su primer exploit. El protocolo de préstamos basado en Binance Smart Chain Meerkat Finance perdió USD 31 millones en fondos de usuarios solo un día después de su lanzamiento en marzo de 2021.
El atacante llamó a una función en el contrato que hizo que su dirección se convirtiera en el propietario de la bóveda, agotando el proyecto de $ 13,96 millones en la moneda estable BUSD de Binance y otros 73,000 BNB (token nativo de Binance). El atraco de BNB valía alrededor de $ 17,4 millones en ese momento.
Muchos usuarios argumentaron que era un trabajo interno: un tirón de alfombra por parte de los desarrolladores del protocolo. Meerkat negó las acusaciones.
11. Vee Finance: $35 Milliones
El verano de 2021 vio un aumento en la actividad de Avalanche, que también atrajo a aquellos ansiosos por explotar el ecosistema incipiente de la red blockchain.
En septiembre de 2021, solo una semana después de que la plataforma de préstamos Vee Finance celebrara un hito de $ 300 millones en el valor total de los activos bloqueados, sufrió lo que sigue siendo el mayor exploit en la red de Avalanche.
El ataque fue posible en gran parte porque la función de negociación apalancada de Vee Finance se basó en los precios de los tokens proporcionados por el principal protocolo de liquidez de Avalanche, Pangolin. Para abusar de eso, el atacante creó siete pares comerciales en Pangolin, proporcionó liquidez y finalmente colocó operaciones apalancadas en Vee. Eso les permitió sacar $35 millones en criptomonedas del protocolo.
En un tuit dirigido a “Estimado Sr./Sra. 0x**95BA”, el protocolo exigía que el atacante devolviera los fondos como parte de un programa de recompensas, que le permitiría quedarse con una parte. Pero el hacker de Vee no mostró ningún deseo de devolver los fondos.
10. PancakeBunny: $45 Milliones
Crypto a menudo pasa por modas breves pero intensas. Y en la primavera de 2021, Binance Smart Chain (BSC) (ahora solo BNB Chain) fue la tendencia DeFi más popular, especialmente para los usuarios minoristas, debido a sus bajas tarifas de red.
Pero BSC también fue sede de muchas estafas y hackeos, el mayor de los cuales fue un exploit de mayo de 2021 que tenía como objetivo el protocolo de agricultura de rendimiento PancakeBunny.
Un hacker manipuló el algoritmo de fijación de precios de PancakeBunny a través de una serie de ocho ataques de préstamos instantáneos, elevando el precio del token nativo del protocolo, $BUNNY. El hacker se hizo con 45 millones de dólares comprando $BUNNY a precio de mercado y vendiéndolo a precios inflados artificialmente.
9. bZx: $55 Milliones
El protocolo de préstamos multicadena bZx fue pirateado en noviembre de 2021 después de que se comprometiera una “clave privada”. El protocolo perdió un total de $55 millones desplegados en Binance Smart Chain y Polygon.
Pero bZx ya había pasado por un dolor similar dos veces antes.
Aunque los ataques de préstamos instantáneos son una táctica común de explotación de DeFi en estos días, bZx es un “OG” en ese sentido. Se convirtió en objeto de ataques de préstamos rápidos en febrero de 2020, cuyo objetivo era su plataforma de negociación de márgenes Fulcrum. El hacker se llevó 1.300 ETH envueltos, con un valor de $366.000 en ese momento.
En otro ataque en septiembre de 2020, bZx perdió el 30 % de los fondos guardados en sus bóvedas, que entonces valían 8 millones de dólares. Sin embargo, los usuarios con posiciones de margen abierto no sufrieron pérdidas porque, como dijo más tarde el protocolo en un informe, esos fondos se cargaron contra el fondo de seguro de bZx.
8. Badger DAO: $120 Milliones
No siempre es una vulnerabilidad de contrato inteligente lo que evapora millones de un proyecto DeFi.
En diciembre de 2021, el puente Badger DAO de Bitcoin a DeFi sufrió una pérdida de $ 120 millones después de que los estafadores engañaran a los miembros de Badger DAO para que aprobaran transacciones maliciosas, lo que les permitió controlar los fondos de la bóveda de los usuarios y mover fondos.
La firma de seguridad Blockchain PeckShield le dijo a Decrypt que los contratos del protocolo estaban a salvo del exploit y que solo la interfaz de usuario se vio afectada.
7. Cream Finance: $130 Milliones
El protocolo de préstamos Cream Finance perdió $ 130 millones en un ataque de préstamo rápido en octubre de 2021, lo que marca el tercer ataque sufrido por el protocolo.
Los préstamos rápidos le permiten obtener préstamos instantáneos, siempre que los pague en la misma transacción. Aunque son útiles para juegos de arbitraje, los actores maliciosos los implementan ampliamente para explotar vulnerabilidades en los protocolos DeFi. En el caso de Cream Finance, el pirata informático de préstamos flash pudo explotar una vulnerabilidad de precios al obtener préstamos flash repetidamente en diferentes direcciones de Ethereum.
Cream lo había visto todo antes. En agosto de 2021, un pirata informático robó alrededor de $ 25 millones en otro ataque de préstamo flash dirigido principalmente al token nativo de Flexa Network, AMP. Y en un ataque de préstamo relámpago de febrero de 2021, los piratas informáticos desviaron $ 37,5 millones del fondo del protocolo.
6. Vulcan Forged: $140 Milliones
Jugar para ganar es una de las tendencias más nuevas en criptografía, pero no está libre de trucos y trampas de la vieja escuela, especialmente aquellos que explotan funciones centralizadas. Vulcan Forged, una plataforma de juego para ganar en Polygon, aprendió esa lección de la manera más difícil en diciembre de 2021 cuando sus usuarios perdieron $ 140 millones.
Según un informe post mortem, un pirata informático obtuvo las credenciales de las billeteras de usuario centralizadas de la plataforma, Venly, para obtener las claves privadas de 96 billeteras criptográficas. Más tarde, el pirata informático lo usó para obtener las claves privadas en la función de cartera de activos de la plataforma, MyForge, y finalmente se hizo con 4,5 millones de tokens PYR nativos de Vulcan Forged.
En su discurso a la comunidad, el CEO de Vulcan Forged, Jamie Thomson, dijo: “En el futuro, por supuesto, no usaremos nada más que billeteras descentralizadas para que nunca más tengamos que encontrar este problema”.
5. Compound: $150 Milliones
Como la mayoría de los protocolos DeFi, el protocolo de préstamos Compound tiene un token de gobernanza, COMP. El protocolo distribuye tokens a los usuarios bajo condiciones específicas.
En octubre de 2021, se supo que Compound tenía un error, “el secreto mejor guardado en DeFi”, que permitía a los prestatarios reclamar más de la parte prevista de COMP. El error involucró a dos de sus bóvedas, o grupos de fondos en el contrato inteligente. Los usuarios llamarían a una función específica, goteo (), en la bóveda del depósito, que volvería a llenar otra bóveda, el Contralor. Esa bóveda distribuiría automáticamente grandes cantidades de COMP a direcciones incorrectas. El grifo que gotea fue el resultado de un error introducido en una actualización de protocolo anterior.
Después de que se enviaron $80 millones en COMP a las personas equivocadas, el equipo se apresuró a parchear una solución. Pero antes de que se pudiera implementar cualquier arreglo, el protocolo requería que se aprobara una propuesta de gobernanza. Se creó el 2 de octubre y finalmente se aceptó el 9 de octubre. Mientras la comunidad debatía, las bóvedas perdieron otros 68,8 millones de dólares.
¿Cómo intentó el fundador de Compound, Robert Leshner, recuperar el dinero? Al tuitear, “Cualquiera que devuelva COMP a la comunidad es un giga-chad alienígena; y si un escuadrón de giga-chads alienígenas alguna vez me convoca, apareceré”. Casi la mitad de los fondos fueron devueltos.
Fuente: Decrypt:
Libre traducción LBC
