Cómo un genio hacker ganó 350.000 dólares explotando las DeFi

Por Tim Copeland

Un comerciante inteligente ha explotado varios protocolos en el espacio de las finanzas descentralizadas (DeFi) para obtener la impresionante cifra de 350.000 dólares en ganancias.

Como informó ayer Decrypt, un ingenioso conjunto de instrucciones —todas ejecutadas en una gran transacción— permitió que alguien aprovechara las debilidades actuales del ecosistema de DeFi para su propio beneficio. Utilizando varias herramientas, y una pequeña dosis de manipulación de precios, este misterioso personaje se llevó a casa cientos de miles de dólares en Ether.

Julien Bouteloup, fundador de la empresa de inversión DeFi Stake Capital, ha reunido esta imagen para mostrarEther lo complicada que fue la transacción de varias capas. Y expone a grandes rasgos lo que ocurrió:

Especificó que un préstamo rápido de 10.000 ETH fue probablemente el culpable. La mitad se destinó a la plataforma de préstamos Compound para pedir prestado Wrapped BTC (una versión de Bitcoin en Ethereum). El resto fue garantía para abrir una posición corta - apostar a que el precio bajará - en BTC en la plataforma de comercio con apalancamiento Fulcrum.

La cuenta luego vendió el wBTC en la plataforma descentralizada de intercambios Uniswap. El precio bajó, por lo que el hacker cerró la posición con un beneficio y devolvió el préstamo inicial.

Pero el hacker no sólo ha expuesto cómo una variedad de herramientas de DeFi pueden ser utilizadas juntas para obtener un beneficio poco ético, sino que también ha destacado lo centralizadas que están algunas de estas plataformas.

Fulcrum utiliza su "clave de administración"

Ayer, bZx, que mantiene el protocolo de Fulcrum, publicó una actualización de la situación. Afirmó que ninguno de los usuarios de su plataforma ha perdido dinero.

"Todos los usuarios tienen cero pérdidas. Anoche hubo un ataque ampliamente reportado que tuvo lugar contra nuestro protocolo. Desde la perspectiva del protocolo, alguien simplemente pidió un préstamo. Desde la perspectiva del prestamista, este préstamo es como cualquier otro", tuiteó.

La plataforma continuó diciendo que el atacante dejó 600.000 dólares de Wrapped Bitcoin en sus sistemas. Agregó que planea tomar este dinero y distribuirlo entre algunos de sus usuarios.

Pero, para hacerlo, necesitará usar su "clave de administrador".

"Actualmente hay 600k de garantía de wBTC dejada por el atacante. Usaremos esto para hacer fluir el interés y la liquidez de salida a los actuales poseedores del iETH. Esto se hará usando nuestra clave de administración. Esta es una decisión extremadamente difícil para nosotros que no tomamos a la ligera", añadió bZx.

Esencialmente, esta clave de administración está muy integrada en el protocolo y permite a bZx controlar cualquiera de los contratos inteligentes, donde se guardan los fondos, como último recurso. El propósito de la clave de administración es precisamente para uno de estos momentos, donde algo ha ido mal y hay mucho dinero en juego.

Pero la clave de administración es la prueba de que hay un punto débil a nivel de centralización y que los usuarios tienen que confiar en el equipo detrás de la plataforma y esperar que no les roben su dinero. Considerando que todo el propósito del DeFi es quitar esta confianza, ésta parece ser una debilidad de peso.

No es sorprendente que los protocolos de DeFi quieran tener un seguro contra fallos. El mayor experimento del Ethereum, la DAO, que en un momento dado contenía casi el 14% del suministro total de Ethereum, se rompió debido a un fallo en dos líneas de código.

Como resultado, toda la blockchain de Ethereum fue reescrita para que todos pudieran recuperar su dinero; socavando la red, atrayéndo críticas y crando una bifurcación en la cadena.

Esta vez, Fulcrum usará su clave de administración para salvar el día, pero al exponer cuán centralizado está realmente el sistema.

Y eso crea más preguntas que respuestas.

Noticias recomendados