Plataforma de criptomonedas fue víctima de millonario hackeo
El atacante aprovechó un vacío del programa para efectuar el robo cibernético, en una maniobra que se repite.
Cream Finance, un proyecto de finanzas descentralizadas(defi) de préstamos en criptomonedas, ha sido víctima de un hackeo que borró más de 29 millones de dólares de sus bóvedas.
El atacante aprovechó un vacío del programa para efectuar el robo. Esta es la segunda vez que la plataforma se ve involucrada en un hack. La primera infracción se dio en febrero, y en aquel momento, Cream perdió 37,5 millones de dólares.
El protocolo Cream, presente en cuatro cadenas de bloques diferentes: Ethereum, Binance Smart Chain, Polygon y Fantom, sufrió un ataque el lunes que resultó en la pérdida de 29 millones de dólares en distintas criptomonedas.
El atacante se aprovechó de un error causado por la introducción del token AMP en el protocolo. Según Peckshield , una empresa de análisis de datos y seguridad de blockchain, el hack se realizó en una sola transacción, aprovechando un error de reentrada presente en el código de la moneda AMP.
PeckShield explicó que el pirata informático pudo hacer un “préstamo flash” de 500 Ethereum que se utilizó para explotar un “error de reentrada” que se encuentra en el contrato inteligente de Flex Network. Los préstamos flash son créditos con garantía insuficiente (es decir, que el monto puesto como garantía no llega a ser tan grande como el dinero tomado en préstamo) y luego se devuelven dentro de la misma transacción.
La empresa sufrió de un “exploit”, que es un tipo de ataque que aprovecha las vulnerabilidades de las aplicaciones, las redes, los sistemas operativos o el hardware. En este caso, fue un error con la nueva implementación de un token en la red.
Esto le permitió al pirata informático volver a tomar prestados activos durante la transferencia antes de actualizar el primer préstamo. El exploit se repitió 17 veces y permitió al pirata informático hacerse con 418 millones de AMP con un valor aproximado de 25,1 millones de dólares y 1300 Ethereum, con un valor de 4,15 millones. La plataforma había sido auditada por Trails Of Bits, una empresa de consultoría e investigación en ciberseguridad, antes de la inclusión del token amp.
Cream declaró que detuvo el exploit al pausar el suministro y la petición de préstamos del token amp. El protocolo también informó a los usuarios que ningún otro mercado se vio afectado y que esperaba ofrecer un informe post mortem en los próximos días.
Esta no es la primera vez que Cream sufre un incidente de piratería. Hace menos de seis meses, la plataforma también se vio afectada por un hack que permitió al atacante retirar 37,5 millones de dólares. El truco, utilizando una versión de un contrato de Alpha Finance, otro protocolo defi, aprovechó un error de cálculo de redondeo en el código y una función de lista blanca. Después de tomar el control de los fondos, el atacante los llevó a Tornado. Cash, un protocolo que permite transacciones privadas en Ethereum.
Afortunadamente, los fondos de los usuarios no se vieron afectados durante este primer truco. Sin embargo, muestra que el entorno defi es muy complejo y que incluso un pequeño cambio en el protocolo, como agregar una moneda o incluir otra plataforma en la lista blanca, puede tener un gran impacto en la seguridad en el futuro.
El problema de los hackeos en el mundo de las cadenas de bloques es que, al ser proyectos descentralizados, es totalmente imposible recuperar el dinero a menos que el hacker decida devolver el monto. En un banco tradicional, es posible dar un paso atrás en una transferencia, pero con las criptomonedas esto no ocurre. (Fuente: Infobae)
