-
El atacante pidiรณ prestado mรกs fondos que los dispuestos en garantรญa.
-
La startup tendrรญa USD 5,5 millones asegurados en bรณveda colateral.
Un nuevo ataque a una plataforma de finanzas descentralizadas (DeFi) fue reportado la noche de este jueves. Un operador explotรณ una vulnerabilidad en el servicio para prรฉstamos rรกpidos, Warp Finance, que comenzรณ a operar el pasado 9 de diciembre para depรณsitos y retiros.
El soporte para prรฉstamos fue habilitado apenas este miรฉrcoles 16 de diciembre y 24 horas despuรฉs el servicio ya era vรญctima de un ataque. La plataforma informรณ, a travรฉs de su cuenta en Twitter, que el operador malicioso pidiรณ un prรฉstamo rรกpido que superaba los fondos dispuestos en garantรญa, lo que derivรณ en una pรฉrdida de capital en stablecoins.
Queda la duda de cรณmo un protocolo DeFi sobre la red Ethereum, aunque de reciente activaciรณn, no se percatara que una configuraciรณn bรกsica de este tipo funcionara correctamente. El atacante no habrรญa tenido dificultades para explotar la vulnerabilidad reportada.
ยซEl explotador pudo sustraer 7,7 millones dรณlares en stablecoins. El equipo tiene un plan para recuperar aproximadamente 5,5 millones de dรณlares que aรบn estรกn asegurados en la bรณveda de garantรญa. Tras una recuperaciรณn exitosa, estos se distribuirรกn a los usuarios que experimentaron una pรฉrdidaยป, publicรณ Warp Finance en la red social.
Oficialmente Warp Finance no ofreciรณ detalles sobre cรณmo ocurriรณ la vulnerabilidad y se limitรณ a decir que publicarรก un anรกlisis detallado en los prรณximos dรญas. No queda claro cuรกles son los prรณximos pasos a seguir de los usuarios o si el resto de los fondos ha sido rastreado.
Versiones que explicarรญan lo ocurrido con la DeFi Warp Finance
Horas antes de confirmar el ataque, el servicio recomendรณ a los operadores no realizar mรกs depรณsitos en stablecoins hasta esclarecer ยซprรฉstamos irregularesยป que habรญan ocurrido. En Twitter se difundiรณ una versiรณn extraoficial de lo que habrรญa ocurrido.
Nick Chong, de Hex Capital, indicรณ que las pรฉrdidas se produjeron en DAI y USDC. En el caso de DAI habrรญan sido robados 3,85 millones de unidades y en el de USDC serรญan 3,92 millones.
De acuerdo con Chong, una cuenta fondeada con 1 ETH desde el servicio de mezclado Tornado Cash ejecutรณ un contrato que cambiรณ instantรกneamente 180 millones de Uniswap y realizรณ un prรฉstamo rรกpido de 51 millones desde dYdX. El resultado, segรบn Chong, es que las bรณvedas de USDC y DAI de Warp quedaron vacรญas y 1 millรณn de dรณlares en ETH estarรญa en una cuenta de propiedad externa (EOA), la del atacante, con 1.462 ETH.
Otra opiniรณn fue la de Emiliano Bonassi, cofundador de Marqet Exchange, quien explicรณ que el atacante utilizรณ a mรบltiples prestamistas, de diferentes pools de Uniswap, y solicitรณ un prรฉstamo doble de diferentes activos en dYdX. Los fondos se habrรญan utilizado para generar tokens de pools de liquidez WETH/DAI para barrer con los fondos en las bรณvedas antes descritas.
La vulnerabilidad explotada contra Warp Finance es el mรกs reciente caso de ataques contra plataformas DeFi. En octubre un atacante sustrajo USD 24 millones del protocolo DeFi Harvest. En este caso el usuario utilizรณ lo servicios de los protocolos Uniswap, Curve Finance y Harvest para sacar los fondos, segรบn informรณ CriptoNoticias.
Hace un mes otro atacante se apoderรณ 6 millones de dรณlares del servicio Value DeFi. El usuario aplicรณ un complejo esquema de operaciones que, al igual que en el caso de Warp Finance, alterรณ los precios para salir beneficiado de forma maliciosa.
