DeFi: los piratas informáticos están explotando la vulnerabilidad de dForce, drenando $ 25 millones

DeFi : des hackers exploitent une vulnérabilité de dForce et drainent $25M

el principal protocolo chino sobre finanzas descentralizadas (DeFi), dFuerzase convirtió en víctima del ataque y casi pierde $ 25 millones.

Protocolo absolutamente arruinado

Este ataque masivo tuvo lugar el 19 de abril de 2020 a las 9:15 (UTC + 8). El dinero se extrajo de los contratos de Préstame.Me, un protocolo de préstamo que forma parte de la red dForce. Lendf.Me ahora está fuera de línea y todos sus contratos inteligentes se han desactivado.

El ataque se centraría en las vulnerabilidades inherentes al token estándar. ERC-777 de Ethereum (ETH).

El mismo error se utilizó para extraer más $ 300,000 en los contratos inteligentes Wrapped Bitcoin (WBTC) del protocolo de intercambio de tokens descentralizado Ethereum Uniswap que contiene imBTCToken ERC-777, que tokeniza bitcoins.

Por lo tanto, para agotar esos $ 25 millones, los piratas informáticos utilizaron el mecanismo de devolución de llamada imBTC, que les permitió suministrar y eliminar imBTC del protocolo varias veces antes de que se actualizara el saldo.

Los préstamos ImBTC en la plataforma Lendf.Me fueron agregados por dForce en enero pasado. Un desafortunado error. Él realmente descubrió y describió este error. ConsenSys durante la auditoría en Uniswap realizada en diciembre de 2018, es decir. 16 meses antes de los atentados.

Según una publicación en GitHub que revela detalles de auditoría, esta vulnerabilidad involucra a un atacante que crea un grupo falso (pool) que se asemeja al intercambio original.

A partir de ahí, ConsenSys afirma que un atacante puede manipular Uniswap para que el precio del activo sea mucho más barato, lo que le permite distorsionar el precio de los activos utilizando tokens a un precio muy por debajo de su valor real de mercado.

En el gráfico a continuación, el resultado de este ataque es impresionante. Su efecto es catastrófico para dForce y sus usuarios. Casi todos los recursos bloqueados en el protocolo Lendf.Me han desaparecido. Solo $ 10,000 todavía está presente:

Evolución del valor total bloqueado (en dólares) en dForce – Fuente: DeFi Pulse

Medidas tomadas por dForce

Tras el incidente, el director general de dForce Mindao Yangse disculpó con Medium y agregó que se sentía el único responsable del incidente:

» Este ataque fue mi fracaso. Aunque no lo hiciera, tenía que anticiparlo y tomar medidas para evitarlo. Mi corazón está a favor de todos los afectados, y haré todo lo que esté a mi alcance para reparar el daño. Me disculpo sinceramente con nuestros usuarios, nuestros nuevos inversores y mi equipo por decepcionarlos. «

Según Mindao Yang, los piratas informáticos intentaron contactar a dForce y el equipo tiene la intención de iniciar una discusión con él / ella.

También se pusieron en contacto con los organismos encargados de hacer cumplir la ley en varias jurisdicciones, se pusieron en contacto con los emisores de activos y los intercambios para rastrear y bloquear las direcciones de los piratas informáticos y traer a sus equipos legales.

En su aporte, el CEO de dForce también aclara que sus fondos personales también fueron robados durante el ataque.

En cuanto al protocolo dForce en sí, Mindao Yang concluyó que él y su equipo ya estaban trabajando para que el sistema volviera a su estado original:

» Aunque fuimos derribados por este ataque, no tengo intención de permitir que nos detenga. «

¿Gran pérdida para DeFi?

Antes del incidente fue dForce 7.º protocolo DeFi más grande si nos referimos a la cantidad de dólares que se le asignan. Incluso si el equipo hace lo que puede para revitalizar el sistema, es poco probable que la comunidad vuelva a confiar en él.

También debemos agregar que dForce acaba de recuperarse, 4 días antes del ataque. $ 1.5 millonesliderado por Multicoin Capital y con la participación de Huobi Capital y China Merchants Bank International (CMBI), un componente de inversión de uno de los bancos más grandes de China.

Esta no es la primera vez que DeFi sufre un ataque de este tipo, pero el segundo ataque es a gran escala y ha destruido por completo el ecosistema dForce.

incidente telefónico vuelve a cuestionar la seguridad de las finanzas descentralizadas y prueba que los protocolos todavía no están completamente seguros. Además, la cantidad pirateada por los piratas informáticos es mucho mayor que la robada durante un error de bZx Fulcrum en febrero pasado.

👉 Para saber más: DeFi: hacker roba 350.000 dólares abusando del protocolo Fulcrum de BZx.

Boletín 🍞

Recibe un resumen de los criptomensajes todos los domingos 👌 Y listo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *