-
Opyn removiรณ la liquidez de Uniswap despuรฉs de descubierto el exploit.
-
El robo refleja la vulnerabilidad de las finanzas descentralizadas.
La plataforma de finanzas descentralizada (DeFi), Opyn, dedicada a asegurar depรณsitos en las DeFi, comunicรณ el martes 4 de agosto la existencia de una vulnerabilidad que afectaba a los contratos de ETH Put.
El exploit permitรญa a un atacante realizar doble gasto de los tokens para opciones (oTokens)ย y robar los colaterales de algunos vendedores de dichos puts. Opyn informรณ que, aunque pudo recuperar cerca de USDC 572.000, los atacantes lograron robar USDC 371.260.
Por ser un protocolo sin necesidad de permisos y descentralizado, Opyn no pudo bloquear el acceso a sus contratos luego de detectado el exploit, dice la startup en su blog.ย
Para mitigar las pรฉrdidas, removimos la liquidez de nuestros pools en Uniswap para evitar que otros usuarios compraran esos oTokens y quitamos el acceso a la compra de ETH Puts en el sitio web opyn.co.
Opyn
Para asegurar la liquidez de quienes poseรญan oTokens, Opyn ofreciรณ comprar aquellos que estaban en manos de sus usuarios en el momento del exploit. Opyn ofreciรณ comprar dichos tokens a un precio 20% por encima de su precio en Deribit, seรฑalรณ la empresa.
Opyn tambiรฉn se comprometiรณ a reemblosar los vendedores de ETH put que fueron afectados por la vulnerabilidad y que darรก mรกs detalles del proceso de reembolso a partir del prรณximo viernes.
Las vulnerabilidades en DeFi
De acuerdo a DeFi Pulse, el valor total bloqueado en Opyn superรณ en mayo los USD 2.000 millones, siendo la segunda vez en 2020 que sobrepasa la marca. Para el dรญa de publicaciรณn, ha sufrido una brusca caรญda hasta los 1.092 millones de dรณlares.
Este auge exponencial de DeFi, impulsado en gran parte por el denominado yield farming, ha atraรญdo tambiรฉn a los hackers. Estos buscan exploits y aprovechan para sus ataques las debilidades en los contratos inteligentes. Las plataformas aseguran que todos sus contratos estรกn debidamente auditados, aunque los diferentes incidentes de seguridad ocurridos han mostrado fallas importantes tanto en los contratos, como de seguridad en el manejo de tokens. Esto ha llevado a pรฉrdidas cuantiosas.
Tambiรฉn se suman a este panorama los protocolos descentralizados y no permisionados, que no solo permiten que cualquiera pueda introducir monedas e iniciar esquemas fraudulentos, en caso de encontrar alguna vulnerabilidad. Ademรกs, como ocurriรณ con este incidente, la descentralizaciรณn impidiรณ bloquear los contratos afectados, por lo que Opyn procediรณ a eliminar la liquidez de los pools de Uniswap y evitar asรญ el acceso a los oTokens.
En febrero de este aรฑo, por ejemplo, el servicio de comercio Fulcrum, de la plataforma DeFi bZx, recibiรณ dos ataques que explotaron una vulnerabilidad en uno de sus contratos inteligentes. Este tipo de exploit permitiรณ a los atacantes robar cerca de 1 millรณn de dรณlares estadounidenses.
A mediados de abril, atacantes desconocidos lograron sustraer USD 25 millones de la plataforma china para prรฉstamos Lendf.Me, aprovechando un contrato inteligente vulnerable en conjunto con una posible falla de seguridad en el estรกndar ERC-777. Uniswap fue vรญctima de un ataque similar que resultรณ en el robo de 300.000 dรณlares.
Mรกs recientemente, el 28 de junio pasado, otro tipo de exploit permitiรณ sustraer 450.000 dรณlares de dos pools multitoken de la plataforma Balancer. Los atacantes lograron manipular los denominados tokens deflacionarios STA y STONK para reducir la liquidez casi a cero y aumentar su precio. Luego, la estafa se completรณ con la compra de tokens mรกs costosos a travรฉs de gastos mรบltiples del mismo token.
En el caso de Opyn, a la luz de lo ocurrido, resulta paradรณjico repasar la presentaciรณn de esta plataforma DeFi, cuyo valor bloqueado no ha superado los USD 2 millones (un 0,05% del total): ยซCualquiera puede comprar opciones (oTokens) para protegerse de los riesgos de DeFiยป.
