Sturdy Finance, una plataforma de préstamos descentralizada que pretende ofrecer a los usuarios préstamos sin intereses y préstamos de alto rendimiento, acaba de sufriera un exploit que provocó la pérdida de casi 442 Ethereum (ETH) por valor de $800.000.
El sector de las finanzas descentralizadas (DeFi) sigue siendo uno de los principales objetivos de los malhechores en el mercado de las criptomonedas. El espacio DeFi ha sido testigo de una buena ración de hackeos desde principios de este año.
Datos de Naoris Protocol, empresa mundial de ciberseguridad, han revelo un aumento del número de hackeos de ciberseguridad notificados en Web3 y DeFi en el primer trimestre de 2023 en comparación con el mismo periodo en 2022 y 2021. Esta cifra es superior a los 16 hackeos registrados en el primer trimestre de 2022 y a los 10 registrados en el primer trimestre de 2021. Monica Oravcova, cofundadora y directora de operaciones de Naoris Protocol,
Nuestro análisis muestra un aumento alarmante del número de hackeos. Se trata de una tendencia preocupante. Es importante utilizar un nuevo conjunto de herramientas y tecnología, en concreto, la arquitectura de malla de ciberseguridad distribuida, para proteger el ecosistema descentralizado».
OTRO ATAQUE DEFI
En la última serie de ataques, Sturdy Finance fue hackeado, lo que provocó una pérdida de aproximadamente $800K. Según la empresa de seguridad de blockchain Peckshield, el hacker explotó una vulnerabilidad que acabó manipulando un oráculo de precios defectuoso, lo que le permitió drenar fondos del protocolo.
Sin embargo, al investigar más a fondo, Peckshield destacó que la causa principal del exploit se debía principalmente al oráculo de precios defectuoso que se dedicaba a calcular el precio del activo cB-stETH-STABLE. Casi una hora después, Sturdy Finance confirmó en Twitter el ataque.
Al conocerse la noticia, Sturdy Finance puso en pausa todos sus mercados, asegurando a sus usuarios que no había fondos adicionales en riesgo. Mientras tanto, el auditor de contratos inteligentes BlockSec señaló que además de la manipulación de precios de oráculos denunciada por Peckshield, el reciente exploit también mostró signos de ser «la típica reentrada de sólo lectura en el equilibrador» o un ataque de reentrada.
Para los no versados, un ataque de reentrada es un tipo de vulnerabilidad de contrato inteligente en el que un contrato hace exploit de la laguna del contrato víctima para retirar continuamente fondos de él hasta que el contrato víctima se queda sin una cantidad significativa.
Además, el protocolo de grafos de conocimiento 0xScope de Web3 validó el exploit, añadiendo que el hacker transfirió los fondos robados al infame protocolo de mezcla de criptomonedas sancionado – Tornado Cash y al exchange Change Now.
AUMENTAN LOS ATAQUES A PROTOCOLOS DESCENTRALIZADOS
Parece que los ataques al sector descentralizado son cada vez más intensos. En los últimos tres años, se ha producido una aceleración de los incidentes de robo de criptomonedas de alto perfil, especialmente en el subsector DeFi. Los préstamos flash, las estafas de salida, los exploits de cross-bridge, los ataques de reentrada y los infames rug pulls, entre otros muchos, son algunos de los métodos de ataque más comunes en el espacio DeFi.
Estos ataques siguen mermando la confianza de los inversores en el sector de los activos digitales, que ya atraviesa una fase de tormentas unida a la incertidumbre macroeconómica y al aluvión de ataques de los reguladores de todo el mundo,
La situación es especialmente sombría en EE.UU., con organismos reguladores como la Securities and Exchange Commission (SEC) y la Commodity Futures Trading Commission (CFTC) tomando medidas enérgicas contra las empresas dedicadas a las criptomonedas, así como a fichas digitales como Solana (SOL), Cardano (ADA) y Polygon (MATIC), entre otras. Recientemente, la SEC emprendió otra guerra contra las criptomonedas dirigida contra dos destacadas empresas del sector de los activos digitales: Binance y Coinbase.
El mes pasado, Wealth Growth Insights reportado que, debido al aumento de la actividad delictiva en el ámbito de las criptomonedas a lo largo de los años, el equipo de criptomonedas del Departamento de Justicia de los Estados Unidos (DOJ) ha iniciado la caza de los hackers de DeFi. En un comunicado detallado, el Departamento de Justicia señaló que el Equipo Nacional de Cumplimiento de la Ley sobre Criptomonedas actuaría como punto focal en la lucha contra las criptomonedas, la ciberdelincuencia, el blanqueo de capitales y otras actividades ilegales relacionadas con los activos digitales.