El protocolo DeFi dForce sufrió una pérdida de más de 3.6 millones de dólares, que el hacker pudo desviar gracias a un ataque de reentrada ejecutado en las cadenas Arbitrum y Optimism.
El ataque se debió a una vulnerabilidad en una función de contrato inteligente que permitía a los usuarios calcular los precios de Oracle cuando se conectaban a Curve Finance.
Más de $3.6 millones perdidos
Un pirata informático pudo desviar USD 3.6 millones en criptomonedas a través de un ataque de reentrada en el protocolo dForce DeFi. El pirata informático pudo apuntar a la bóveda del protocolo en Curve Finance, una plataforma de creación de mercado automatizada (AMM) que opera en las cadenas de bloques de Arbitrum y Optimism. El hackeo fue sacado a la luz por el usuario de Twitter @ZoomerAnon, quien tuiteó que dForce había perdido alrededor de $ 1.7 millones a través de una serie de transacciones de préstamos rápidos ejecutadas en Optimism Chain. La firma de seguridad Blockchain PeckShield confirmó el ataque y calculó los daños en alrededor de 2300 ETH, por un valor de alrededor de $ 3.65 millones.
DeForce también confirmó el ataque en su cuenta oficial de Twitter y agregó que había detenido todas las bóvedas para evitar daños adicionales.
“El 10 de febrero, se explotaron nuestras bóvedas de la curva wstETH/ETH en Arbitrum & Optimism, e inmediatamente detuvimos todas las bóvedas. Se identifica la vulnerabilidad y el exploit era específico de la bóveda wstETH/ETH-Curve de dForce. Los fondos de los usuarios suministrados a dForce Lending y otras bóvedas están SEGUROS”.
Detalles del ataque
Según los detalles disponibles sobre el ataque, el pirata informático pudo explotar una vulnerabilidad de reingreso que estaba presente en una función de contrato inteligente utilizada por dForce para obtener precios de Oracle de Arbitrum y Optimism. Los ataques de reingreso ocurren cuando un pirata informático puede explotar un error en un contrato inteligente, lo que le permite retirar fondos repetidamente y transferirlos a un contrato no autorizado. Se sabe que estos ataques ocurren en protocolos que están vinculados a Curve Finance.
La firma de seguridad Blockchain PeckShield explicó que en el caso de este ataque, el pirata informático pudo manipular el precio de ETH envuelto en la bóveda de Curve (wstETHCRV-gauge) y liquidar varias posiciones de préstamo flash. Hasta ahora, los fondos todavía están en la cuenta del hacker. DeForce ha pausado todos los contratos para evitar pérdidas adicionales al protocolo y enfatizó que los fondos de los clientes permanecen seguros. DeForce también declaró que el atacante había creado una deuda de protocolo de $ 2.3 millones y también agregó que le ofrecerían una recompensa al atacante si se devolvían los fondos.
“Nos hemos comprometido con la empresa de seguridad @SlowMist_team y nuestros socios del ecosistema para investigar más a fondo el asunto y nos gustaría ofrecer una recompensa al explotador si se devuelven los fondos. Estén atentos para más actualizaciones”.
¿Es DeFi un objetivo fácil?
El último ataque a dForce ocurrió dos años después de que el protocolo perdiera $25 millones en un gran ataque al protocolo. Sin embargo, el atacante devolvió casi todos los fondos robados. Si bien en el ataque más reciente se robó una cantidad significativamente menor, es el último de una larga lista de ataques apuntando al ecosistema DeFi, que es uno de los ecosistemas de más rápido crecimiento en criptografía. Según un informe publicado por TRM Labs, se perdieron más de 3.7 millones de dólares debido a hacks criptográficos en 2022, y más del 80 % de esa cifra se debió a exploits de DeFi.
La avalancha de hacks y las tremendas pérdidas reportadas obviamente han atraído la atención de los reguladores, que incluye a la Unión Europea. Los reguladores se han comprometido a trabajar para introducir nuevos cambios de política para ayudar a mejorar la supervisión de DeFi por parte de los organismos reguladores.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost