Cómo se utilizaron $ 150 millones en Ethereum y DAI para robar $ 7 millones de un competidor de Yearn.finance

Ethereum

Puede parecer un récord roto en este punto, pero recientemente se explotó otro protocolo de finanzas descentralizadas (DeFi).

Y, una vez más, la explotación tuvo lugar en un competidor de Yearn.finance (YFI).

Aquí encontrará más información sobre lo que sucedió y lo que los usuarios de DeFi pueden hacer para evitar que sus fondos sean atacados en el futuro.

La bifurcación de Yearn.finance ValueDeFi hackeada por $ 7 millones

En agosto y septiembre, la bifurcación de Yearn.finance estaba de moda. Yearn.

Se soltaron horquillas sobre horquillas.

Una bifurcación que ganó tracción fue YF Value (YFV), que, al igual que Yearn.finance, se comercializó como un lugar para que los usuarios depositaran criptomonedas y obtengan un rendimiento estable y seguro. Aunque extremadamente similar en concepto a Yearn.finance, la estrategia de marketing funcionó: en su punto máximo a principios de septiembre, YFV tenía una capitalización de mercado apenas por debajo de los $ 150 millones.

Desafortunadamente, YFV no es tan seguro como se pensaba.

El sábado por la mañana, los usuarios comenzaron a darse cuenta de una gran transacción de Ethereum que involucraba a Aave, Curve, Uniswap y YF Value (ahora conocido como Value DeFi).

En esa transacción, un usuario había retirado 80,000 ETH de Aave en un préstamo flash, junto con otros $ 116 millones en DAI de Uniswap.

Posteriormente, esos fondos se negociaron para manipular el precio de las monedas estables en Curve. Esta manipulación significó que el atacante pudo obtener tokens de depósito de valor que valían más que el valor real de las monedas estables que subyacen a esos tokens.

En total, Value extrajo $ 7.5 millones en DAI, aunque el atacante seudónimo devolvió $ 2 millones al protocolo.

Aunque desafortunado para los depositantes, horas antes del ataque, Value se autodenominó la “pieza de tecnología más segura y avanzada en el espacio DeFi”, afirmando que sus desarrolladores explicaron fallas bien conocidas en los contratos inteligentes de Ethereum.


La explotación de Value se produce después de que ocurrieran ataques similares con Akropolis y con Harvest Finance.

Evitar protocolos con mala integración de Oracle

En el núcleo de muchos de estos exploits y posibles vectores de ataque se encuentra la falta de integraciones de Oracle adecuadas. Un oráculo es un software que suministra datos fuera de un sistema a ese sistema; en DeFi, los oráculos son utilizados con mayor frecuencia por protocolos que necesitan conocer el precio de una criptomoneda.

Los oráculos «honestos» utilizan una variedad de métricas, como usar un índice o tomar una instantánea, para mitigar el riesgo de ataques de manipulación de precios.

Los protocolos que fueron explotados por los ataques de préstamos flash no utilizaron oráculos de integración adecuada, lo que permitió manipular los precios entre bloques de las monedas estables en beneficio de los explotadores.

‫comentarios

Deja una respuesta