Inicio CriptoNoticias Blockchain DeFi Exploits DeFi en 2021: una recopilación de crímenes DeFi

Exploits DeFi en 2021: una recopilación de crímenes DeFi

Los Exploits DeFi en 2021 ya ha superado las cifras registradas en 2020. Con la cantidad de dinero bloqueada en los protocolos DeFi, los delincuentes también los están atacando para salirse con la suya.

Si bien se han producido menos ataques DeFi en 2021, son más devastadores que los ataques que ocurrieron en 2020. Según un informe de CipherTrace, a fines de abril de 2021, los delincuentes pudieron obtener $ 156 millones en los primeros cinco meses de 2021. Esto La cantidad ha superado los $ 129 millones robados en hacks relacionados con DeFi durante todo 2020.

Exploremos las vulnerabilidades de DeFi que han ocurrido hasta ahora en 2021.

Hacks y exploits de DeFi en el primer trimestre

4 de febrero: Ataque rápido de préstamos de Yearn Finance (YFI)

Enero de 2021 transcurrió sin incidentes y el mercado de criptomonedas y DeFi estaba disfrutando de un auge. En febrero, Yearn Finance, un protocolo de agregación de préstamos y actualmente la octava plataforma DeFi basada en Ethereum más grande por TVL de $ 3.26 mil millones, fue la primera víctima de los delincuentes en 2021 que quieren beneficiarse de este mercado emergente con sus propios métodos.

El 4 de febrero de 2021, Yearn Finance sufrió un exploit financiado por préstamos flash. Según los detalles, la bóveda de billetera yDAI de Yearn Finance fue explotada para la pérdida de $ 11 millones. Aunque el atacante robó a Yearn $ 11 millones, solo pudo obtener $ 2.7 millones en DAI ya que las tarifas excesivas le costaron millones para ejecutar el hack.

El atacante inició el ataque con préstamos flash tomados de dYdX y Aave. Luego usó estos préstamos como garantía para otro préstamo en Compuesto. Después de eso, los atacantes depositaron estos fondos en la bóveda de yDAI, inflando el precio de DAI. Finalmente, intercambió sus fichas Curve, que se acumularon de un grupo con su DAI inflado.

El ataque fue mitigado. El equipo respondió en 11 minutos y el equipo pudo proteger del atacante los $ 24 millones restantes almacenados en la bóveda. Después del exploit, Yearn Finance realizó una serie de auditorías a través de MixBytes.

13 de febrero: Ataque de préstamo relámpago Alpha Homora

El 13 de febrero, Alpha Homora V2, un protocolo DeFi que aprovecha el rendimiento en Ethereum, fue explotado por más de $ 37 millones en un complicado ataque de préstamo rápido al Iron Bank de Homora.

Después del ataque, Alpha Homora publicó un informe post mortem. Según el informe, el atacante pudo utilizar los contratos sUSD de Alpha que no se dieron a conocer al público en ese momento. El V2 Iron Bank de Cream Finance también se vio afectado por el hack, ya que Alpha Homora V2 se integró con Cream V2 en una forma de préstamo de protocolo a protocolo.

El ataque fue complicado e involucró 9 transacciones. Según los detalles, el atacante usó Alpha Homora varias veces para pedir prestado sUSD de Iron Bank. Cada vez piden prestado el doble que en la anterior. Cada vez que el atacante prestó estos fondos al Iron Bank de Cream Finance, recibió cySUSD. Los perpetradores hicieron esto varias veces: tomar prestado sUSD de Alpha Homora, prestar estos fondos al Iron Bank de Cream y recibir cySUSD.

Después de completar múltiples transacciones, el atacante había acumulado una gran cantidad de cySUSD. Al final, el número de su cySUSD alcanza una cantidad increíble, lo que les permite pedir prestado cualquier cosa a IronBank. Luego pidió prestados 13.2k WETH, 3.6M USDC, 5.6M USDT y 4.2M DAI. De estos fondos prestados, las tres monedas estables se depositaron en Aave V2. El Ether de 13.2k se distribuyó en varios lugares diferentes: 1,000 ETH a Iron Bank, 1,000 ETH a Alpha Homora, 320 ETH a un fondo de donación y 10,925 ETH retenidos en la billetera. Al final del exploit, el atacante de Alpha Homora pudo ganar aproximadamente $ 37.5.

Según Alpha Homora, no se perdieron fondos de los usuarios ya que no había liquidez en el grupo de préstamos del sUSD.

27 de febrero: Explotación de contrato inteligente de Furucombo

El 27 de febrero, Furucombo, un protocolo para lotes de transacciones e interacciones con múltiples protocolos DeFi a la vez, fue explotado por $ 15 millones. Según el informe post mortem, la violación afectó a 22 usuarios de Furucombo y resultó en fondos, compuestos por 21 activos diferentes por valor de US $ 15 millones, robados por un atacante desconocido.

Este fue un exploit de «contrato malvado» en el que un contrato falso hizo que Furuсombo pensara que Aave v2 tiene una nueva implementación. Debido a esto, todas las interacciones con Aave v2 permitieron transferencias de tokens aprobados a una dirección arbitraria.

8 de marzo: Exploit DODO DEX

El 8 de marzo de 2021, DODO, un DEX basado en Ethereum y BSC, experimentó un hackeo de contrato inteligente, y los atacantes pudieron robar aproximadamente $ 3.8 millones en criptomonedas de varios de los grupos de crowdfunding de DODO.

DODO proporciona liquidez a los comerciantes a través de los mineros que contribuyen a Crowdpools. Cuatro de estos grupos WSZO, WCRES, ETHA y FUSI se vieron afectados por el exploit. Los detalles sugieren que los piratas informáticos se aprovecharon de un error en el contrato inteligente DODO V2 Crowdpooling. El error estaba en la función init () del contrato.

Los atacantes primero crearon un token falso y llamaron a la función init () del contrato inteligente vulnerable. Usando la función sync (), establecieron la variable reservada del contrato en 0, mostrando el saldo de 0 tokens. El atacante vuelve a llamar a init (), pero esta vez lo apuntó a un token real de uno de los grupos de DODO. Luego utilizaron un préstamo flash para transferir todas esas monedas de los fondos y evitar el cheque del préstamo flash. Según algunas fuentes, el equipo de DODO pudo recuperar 3,1 millones de dólares de los activos robados.

4 de marzo: Meerkat Fiance Exploit de $ 31M

El 4 de marzo de 2020, solo un día después del lanzamiento, Meerkat Finance, un protocolo DeFi de cultivo de rendimiento basado en BSC, afirmó que había sido pirateado por $ 31 millones. El trullo afirmó que su bóveda de contrato inteligente fue explotada y el atacante drenó alrededor de 13 millones de BUSD y 73,000 BNB, que valían $ 31 millones en ese momento.

Pero la comunidad creía que se trataba de una estafa de salida y el equipo de Meerkat Finance se ha escapado de los fondos de los usuarios, ya que el análisis en cadena reveló que los fondos se agotaron al alterar el contrato inteligente de Meerkat que contiene la lógica comercial de la bóveda del proyecto mediante el uso del implementador original de Meerkat. cuenta. Las sospechas de un tirón de alfombra crecieron cuando, poco después del ataque, el sitio web de Meerkat Finance y la cuenta de Twitter se desconectaron.

hack

5 de marzo: Ataque de menta infinito de la red PAGADA

El 5 de marzo, PAID Network, un programa de contrato inteligente para empresas que realizaron las Ofertas Iniciales DEX (IDO) más populares en Polkastarter, fue explotado por alrededor de $ 3 millones. El atacante explotó la función de minería de PAID Network, creando 60 millones de tokens PAID de la nada y transfiriéndolos a su billetera.

Dado el precio del token PAID de $ 2.8 en ese momento, el atacante pudo robar $ 180 millones. Pero el precio se desplomó casi un 90% después del ataque. Cambió alrededor de $ 3 millones por Wrapped Ether (WETH), pero el resto permaneció en tokens PAID.

La comunidad esperaba otra estafa de salida, pero el equipo respondió después de unos días. Según los detalles, el ataque fue el resultado de una mala gestión de claves del contrato inteligente, no una vulnerabilidad. La red se basó en una única clave privada para administrar el control sobre el contrato inteligente. Al comprometer esa clave privada, el atacante pudo controlar la función de actualización del contrato.

El atacante actualizó y reemplazó el contrato inteligente original con una versión maliciosa que permitía quemar y acuñar tokens. El proyecto todavía existe y el token PAID tiene un precio de $ 0.422 al momento de escribir este artículo.

15 de marzo: Hot Wallet de Roll

El 15 de marzo, Roll, una plataforma de tokens sociales en Ethereum, sufrió una brecha en la billetera, lo que provocó que los piratas informáticos drenaran al menos 3.000 ETH por un valor de $ 5.7 millones. El atacante robó 11 tokens sociales diferentes, incluidos $ WHALE, $ RARE y $ PICA. Según el equipo, las claves privadas de la billetera activa se vieron comprometidas.

Hacks de DeFi en el segundo trimestre

3 de abril: Exploit del día de lanzamiento de ForceDAO

El 3 de abril de 2021, el agregador de rendimiento ForceDAO basado en Ethereum fue pirateado pocas horas después de su lanzamiento. Según un informe post mortem, el 3 de abril, justo después de que ForaceDAO lanzara su campaña de lanzamiento aéreo, cuatro hackers de sombrero negro lograron drenar un total de 183 Ether (ETH), por un valor aproximado de $ 367,000 en ese momento. Un hacker de sombrero blanco ayudó al equipo de ForceDAO alertándolos para evitar más pérdidas.

Según los detalles, los atacantes pudieron explotar un error en la bóveda xFORCE de ForceDAO, una bifurcación de un contrato inteligente SushiSwap que contiene un mecanismo para revertir tokens en caso de transacciones fallidas. Los piratas informáticos depositaron tokens de FORCE que sabían que no se podrían transferir, pero de alguna manera aún podían recibir tokens de xFORCE por sí mismos. Luego intercambió estos tokens xForce por ETH.

28 de abril: Uranium Finance $ 50M Hack

El 28 de abril, Uranium Finance, una plataforma AMM en BSC, informó que la plataforma había sido explotada por 50 millones de dólares. El hacker pudo robar $ 36.8 millones en Binance Coin (BNB) y Binance USD (BUSD), 80 Bitcoin, 1.800 Ether, 26.500 Polkadot, 5.7 millones de Tether, 638.000 Cardano (ADA) y 112.000 u92, la moneda nativa del proyecto.

El exploit ocurrió cuando el protocolo estaba realizando su evento de migración de token de V2 a V2.1. El pirata informático pudo aprovechar un error de codificación en la lógica del modificador de equilibrio de la plataforma. De hecho, este fue el segundo ataque a Uranium Finance en abril. El primer ataque obligó a la plataforma a migrar a V2 y luego, de repente, el equipo decidió actualizar a otra versión, la V 2.1. El equipo sospechaba que se trataba de un trabajo interno que podría haber filtrado la vulnerabilidad.

19 de abril: el ataque de $ 80 millones de EasyFi

El lunes 19 de abril de 2021, EasyFi, un protocolo DeFi basado en Polygon Network, informó haber sufrido un ataque de más de $ 80 millones. Hacker pudo salirse con la suya con 2,98 millones de tokens EASY, que valían alrededor de $ 25 cada uno en ese momento, para un total de alrededor de $ 75 millones y $ 6 millones en monedas estables, incluidas DAI y Tether (USDT).

Según una publicación de blog de EasyFi por el CEO y fundador Ankitt Gaur, las claves privadas de la cuenta de administrador de red MetaMask se habían comprometido a través de su computadora y nada estaba mal en los contratos de EasiFy.

1 de mayo: Ataque de préstamo relámpago del protocolo Spartan

El 1 de mayo, Spartan Protocol, una plataforma defi basada en BSC, fue explotada por $ 30 millones en un ataque de préstamo relámpago. Según un informe de la firma de seguridad PeckShield, el exploit ocurrió debido a una «lógica defectuosa en el cálculo de la cuota de liquidez cuando se quema el token del grupo para retirar los activos subyacentes».

El atacante primero tomó un préstamo relámpago de 100.000 BNB envueltos (wBNB) de PancakeSwap. Luego, el atacante intercambió wBNB por el token SPARTA nativo del protocolo cinco veces a través del grupo Spartan explotado. El proceso se completó diez veces más para inflar el saldo de activos en el grupo. Luego, el pirata informático usó DEX 1 pulgada y Nerve Finance para retirar los fondos robados.

8 de mayo: Explotación del contrato maligno de $ 11 millones de Rari Capital

El 8 de mayo, Rari Capital, una plataforma DeFi que utiliza una serie de productos para obtener rendimiento, informó un exploit de $ 11 millones en su plataforma. Según los expertos, el hackeo fue una explotación del contrato maligno, en el que un atacante «engaña» un contrato para que piense que un contrato hostil debería tener acceso o permisos.

Según el informe post mortem, el hackeo estaba relacionado con la bóveda ibETH que genera intereses de Rari. Rari Capital Ethereum Pool deposita ETH en el token ibETH de Alpha Finance como sus estrategias de generación de rendimiento. El atacante aprovechó su integración generadora de rendimiento con el token ibETH de Alpha Finance Labs. El atacante primero tomó un préstamo flash ETH de dYdX y lo depositó en el grupo Rari Capital Ethereum.

Luego manipuló el valor de ‘ibETH.totalETH ()’ empujándolo artificialmente alto. De esta manera, el pirata informático pudo obtener más ETH del Rari Capital Ethereum Pool que depositado. Robó aproximadamente 2600 ETH, alrededor de $ 11 millones en ese momento.

20 de mayo: Explotación de préstamos flash de $ 200 millones de PancakeBunny

El 20 de mayo, el popular protocolo DeFi basado en BSC, PancakeBunny, sufrió un ataque de préstamo relámpago que resultó en la pérdida de más de $ 200 millones en criptoactivos. Según el equipo, el atacante se hizo con 697.000 BUNNY y 114.000 BNB, por valor de más de 200 millones de dólares.

En el exploit, el hacker usó PancakeSwap para pedir prestada una gran cantidad de BNB y los depositó en el grupo USDT / BNB y BUNNY / BNB, manipulando el saldo de activos. El hacker terminó obteniendo una gran cantidad de tokens BUNNY y BNB a través de este ataque de préstamo flash.

22 de mayo: Ataque de préstamo flash de $ 3M de Financiamiento atascado

El 22 de mayo, Bogged Finance se unió a la creciente lista de protocolos DeFi basados ​​en BSC explotados en ataques de préstamos relámpago. En el exploit, el hacker pudo hacerse con 11,358 Binance Coin (BNB), por un valor total de $ 3 millones en ese momento.

Según un informe del equipo de Bogged Finance:

«El atacante pudo utilizar préstamos flash para explotar una falla en la sección de participación del contrato inteligente BOG para manipular las recompensas de participación y causar una inflación de la oferta, sin que se cobre ni se queme la tarifa de transacción, lo que causó inflación neta».

28 de mayo: BurgerSwap $ 7.2M Flash Loan Attack

El 28 de mayo, BurgerSwap, un intercambio descentralizado basado en Binance Smart Chain, informó sobre una explotación de préstamos flash que resultó en la pérdida de $ 7.2 millones en fondos de los usuarios. El atacante se hizo con 1,6 millones de dólares en BNB envuelto, 6,800 dólares en ETH, 3,2 millones de monedas BURGER, 1 millón de xBURGER, 95.000 ROCKS (152.000 dólares), 22.000 dólares de BUSD y otros 1,4 dólares en Tether (USDT). Según los detalles, el hacker lanzó un ataque de préstamo flash con la ayuda de un token falso.

30 de mayo: Belt Finance $ 6.3M Flash Loan Exploit

El 30 de mayo, otro protocolo DeFi basado en BSC, Belt Finance, una plataforma de agregación de rendimiento, fue víctima de un ataque de préstamo flash que perdió $ 6,3 millones. Según un informe de Rekt, el exploit de préstamo flash más complejo en el que el pirata informático explotó una falla en la forma en que las bóvedas del protocolo calculan el valor de su garantía.

Elipsis es un intercambio descentralizado que permite el intercambio de monedas estables con bajo deslizamiento en la Binance Smart Chain. Como agregador de rendimiento, Belt despliega capital en Elipsis como una estrategia de generación de rendimiento. En el exploit, se aprovechó la estrategia Elipsis de la bóveda del BeltBUSD.

16 de junio: Evento de alfombra inversa de Alchemix

El 16 de junio, Alchemix, un protocolo DeFi basado en Ethereum, sufrió un exploit único de $ 6.5 millones en el que los usuarios del protocolo fueron los que se beneficiaron. Alchemix es un protocolo DeFi innovador que pone a trabajar la garantía de los usuarios a través de la agricultura de rendimiento. El interés que esto genera se utiliza para devolver parte o la totalidad del préstamo.

El 16 de junio, un error en la bóveda de Alchemix alETH provocó que la bóveda no tuviera garantía suficiente. Según los detalles, el error creó accidentalmente bóvedas adicionales, y el protocolo usó algunas de estas bóvedas para calcular incorrectamente las deudas pendientes, lo que a su vez significó que los fondos del protocolo se usaran para pagar las deudas de los usuarios. Durante un corto período, los usuarios pudieron retirar su garantía ETH con sus préstamos alETH aún pendientes, lo que resultó en un tirón inverso de alrededor de $ 6.53 millones.

21 de junio: Impossible Finance $ 0.5M Flash Loan Exploit

El 21 de junio, otro protocolo DeFi basado en BSC, Impossible Finance, perdió alrededor de 230 ETH, aproximadamente $ 500,000, en fondos de usuario durante un ataque de préstamo flash. Según los informes, el exploit era similar al exploit BurgerSwap en el que el atacante lanzó un ataque de préstamo rápido para drenar el fondo de liquidez de Impossible Finance con la ayuda de un token falso.

Comparación: 2020 vs 2021

Como el espacio DeFi está disfrutando de un gran momento, también lo hacen los delincuentes. Los delitos de DeFi eran desconocidos en 2019. Sin embargo, en la segunda mitad de 2020, el mercado de DeFi explotó y todos los días comenzaron a surgir nuevos proyectos, lo que todavía está sucediendo.

Los delitos de DeFi también aumentaron con este crecimiento. Según un informe de CipherTrace de noviembre de 2020, los hacks de DeFi representaron el 25% del volumen de hackeos y robos de 2020. En total, se perdieron $ 129 millones en 2020 en delitos relacionados con DeFi.

Pero en 2021, el peso de los delitos relacionados con DeFi aumentó a medida que TVL en plataformas DeFi basadas en Ethereum fue de $ 85 mil millones en mayo, en comparación con $ 16 mil millones el 1 de enero. Según el informe de mayo de CipherTrace:

«Con $ 156 millones, la cantidad neta de hacks relacionados con DeFi en los primeros cinco meses de 2021 ya supera los $ 129 millones robados en hacks relacionados con DeFi durante todo 2020».

Con esto, los ataques relacionados con DeFi representaron más del 60% del volumen total de ataques y robos. Esta cantidad no incluye $ 83,4 millones adicionales perdidos a través de fraudes relacionados con DeFi, como estafas de extracción de alfombras o salidas.

Factores que conducen a estos eventos

Ataques de préstamos urgentes

Como podemos ver en la discusión anterior, los ataques de préstamos flash representan la mayoría de las vulnerabilidades de DeFi. Un ataque de préstamo rápido es un exploit en el que un pirata informático toma un préstamo sin garantía de un protocolo de préstamos y manipula el mercado a su favor mediante una serie de trucos técnicos.

Los préstamos relámpago son una innovación importante en DeFI, ya que permiten a los jugadores de poca monta participar en el mercado. Desafortunadamente, esto también hace que los préstamos flash sean fáciles y económicos de lograr. Pero, los ataques de préstamos relámpago están aquí para quedarse, ya que todavía no existe una solución sólida para reemplazar o defenderse de estos ataques.

Errores de contrato inteligente

Otros factores incluyen errores de contratos inteligentes y errores de codificación a medida que los equipos se apresuran a lanzar su producto para compartir su parte en este espacio en crecimiento. Se realizan auditorías exhaustivas, pero incluso esto no garantiza una seguridad infalible.

Estafas de extracción o Rug Pull

Las Rug Pull también son factores importantes en los fraudes relacionados con DeFi. La mayoría de los equipos en los eventos de Rug Pull son desarrolladores anónimos que prometen dar a los agricultores un APY ridículamente grande. Tan pronto como se han bloqueado suficientes fondos en un contrato inteligente, el desarrollador retira repentinamente todos los fondos del fondo de liquidez y desaparece para siempre con los fondos, lo que hace que el precio del token se desplome a cero.

Hacks de Binance Smar Chain (BSC)

Debido a los problemas de escalabilidad y altas tarifas de gas de DeFi, la plataforma blockchain de contrato inteligente de Binance ha experimentado un aumento en la demanda desde su lanzamiento en septiembre de 2020, debido a sus bajas tarifas y alto rendimiento.

Las plataformas DeFi nacientes que se ejecutan en BSC han atraído a grandes bases de usuarios, pero estas plataformas DeFi lanzadas rápidamente también están siendo víctimas de los criminales cripto. A continuación se muestra la lista de protocolos DeFi basados ​​en BSC que fueron pirateados o explotados en 2021 hasta ahora.

  • 4 de marzo: Meerkat Fiance explotado por $ 31 millones
  • 8 de marzo: DODO DEX explotado por $ 3.8 millones
  • 28 de abril: Explotación de Uranium Finance por 50 millones de dólares
  • 1 de mayo: Spartan Protocol explotado por $ 30 millones
  • 20 de mayo: PancakeBunny explotado por $ 200 millones
  • 22 de mayo: Aprovechamiento de Bogged Finance por $ 3 millones
  • 28 de mayo: BurgerSwap explotado por $ 7.2 millones
  • 30 de mayo: Belt Finance explotado por $ 6,3 millones
  • 21 de junio: Impossible Finance explotado por $ 0.5 millones

Si este artículo le pareció interesante, aquí puede encontrar más noticias sobre DeFi

Atiq Ur Rehman
Electronics Engineer with a passion to write about Disrupting Technologies like Blockchain. He joined Crypto-Economy in July 2019.
- Advertisment -
#NombrePrecioCambios 24H