Los 10 mayores hackeos a plataformas DeFi durante 2020

2020, año que todos recordarán por el COVID-19 y sus consecuencias, tendrá también una connotación especial para aquellos que están inmersos en el mundillo de las criptomonedas. Aunque durante el último mes el precio de bitcoin (BTC) se llevó el protagonismo por alcanzar y superar máximos históricos, otra cosa que marcó a este año fue la gran expansión de los protocolos de finanzas descentralizadas (DeFi, por sus siglas en inglés).

El afán por lanzar rápidamente nuevos servicios DeFi superó, en ocasiones, la velocidad con la que trabajan auditores y responsables de seguridad. Muchas de estas plataformas, incluso algunas que recibieron auditorías, vieron vulneradas sus barreras de protección y los fondos depositados en sus contratos inteligentes pasaron a manos de quienes supieron aprovechar las falencias en el código.

A continuación, se presentan los 10 mayores robos a plataformas DeFi ocurridos durante este año:

Opyn (USD 361.260)

Fue el 4 de agosto de 2020 cuando los usuarios de Opyn se enteraron que una vulnerabilidad de los contratos ETH Put había sido explotada. El error de código le permitía al atacante realizar un doble gasto de tokens para opciones (denominados oTokens) y apropiarse indebidamente de los colaterales depositados por algunos vendedores de esas órdenes.

361.260 unidades de la criptomoneda USD Coin (USDC), que mantiene paridad en su precio con el dólar estadounidense, fueron robadas. Por ser un protocolo no permisionado y descentralizado, los administradores, liderados por el fundador de la plataforma, Zubin Singh Koticha, no pudieron bloquear el acceso a los contratos luego de que la vulnerabilidad fuera detectada.

Con el fin de mitigar las pérdidas, lo que hicieron fue retirar inmediatamente la liquidez que habían depositado en los pools del exchange descentralizado Uniswap. Así evitaron la rápida devaluación de los tokens, que ofrecieron comprárselos a sus poseedores a un precio 20% por encima del valor de mercado.

Actualmente Opyn sigue en funcionamiento. Entre otras cosas, asegura brindar protección contra hackeos a contratos inteligentes.

Balancer (USD 450.000)

El exchange descentralizado Balancer está en el «Top 10» de la reconocida página web informativa DeFiPulse. Pero ser una de las plataformas más conocidas y utilizadas no es garantía de seguridad.

Un atacante, que supo utilizar un contrato inteligente para automatizar múltiples acciones en una sola transacción, logró extraer el equivalente a USD 450.000 en los tokens Wrapped Bitcoin (WBTC), Synthetix (SNX) y Chainlink (LINK). Vació por completo los pools de liquidez de Balancer que los contenían. El hecho ocurrió en junio de 2020.

El hacker se valió de préstamos relámpagos (flash loans) del exchange descentralizado dYdX, para conseguir el token Wrapped Ether (WETH), que luego cambiaba por el token STA.

Debido a que Balancer tiene un modelo con comisiones de transferencia de 1% cobradas al receptor, cada vez que el atacante cambiaba WETH por STA, el pool de Balancer recibía 1% menos y reducía así su liquidez. Cuando la liquidez era cercana a cero, el precio de STA se incrementó en gran manera y el atacante lo utilizó para adquirir otros WBTC, SNX y LINK en el pool a muy bajo precio.

Mike McDonald, cofundador de Balancer admitió no estar consciente de que un ataque así era posible. Como medida preventiva incorporaron una lista negra en la que incluyeron a los tokens con comisiones de transferencia y auditaron nuevamente su plataforma.

Akropolis (USD 2.000.000)

El 12 de noviembre de 2020, los proveedores de liquidez de la plataforma Akropolis recibieron la noticia de que 2.000.000 de DAI (equivalentes a la misma cantidad de dólares estadounidenses) fueron sustraídos del pool YCurve-SUSD.

El robo se efectuó mediante la combinación de un ataque de reentrada y un préstamo flash en la plataforma dYdX. Tal como lo definió CriptoNoticias, se denomina ataque de reentrada cuando se logra llamar repetidas veces a una misma función en un contrato inteligente antes de que funciones anteriores terminen de ejecutarse.

El atacante logró retirar varias veces la criptomoneda. Cuando el contrato inteligente «se dio cuenta» de que ya no quedaba saldo, era demasiado tarde.

Aunque la plataforma estaba auditada, esa vulnerabilidad no había sido detectada durante la inspección de código. La empresa auditora, CertiK, es la misma que auditó bZx, protocolo de préstamos que también está incluido en este listado.

Value DeFi (USD 6.000.000)

Aunque el robo de USD 6.000.000 de la plataforma Value DeFi no fue el más grande del año, probablemente sí sea el más llamativo. Es que el hacker se compadeció de las súplicas de dos víctimas y les devolvió parte del botín.

Más precisamente, los beneficiarios del retorno fueron una enfermera que perdió USD 100.000 (los ahorros de toda su vida, según dijo) y un joven de 19 años que aseguró que la pérdida de USD 200.000 le estaba generando problemas familiares. De todos modos, el dinero devuelto fue de solo 95.000 DAI entre los dos.

El robo se produjo a mediados de noviembre. El atacante efectuó un préstamo flash en la plataforma Aave por 80.000 ethers (ETH), unos USD 36 millones en ese momento. Los utilizó en parte para comprar 116 millones de DAI y 31 millones de USDT.

Luego canjeó 25 millones de DAI por la stablecoin mvUSD, 91 millones de DAI por USDC y 31 millones de USDT por 17 millones de USDC. Estas operaciones inusuales, debidamente planificadas por el hacker, alteraron los precios y métodos de retiro en la bóveda del protocolo DeFi, que no había sido auditado.

Origin (USD 7.000.000)

Al igual que en el ya mencionado caso de Akropolis, un ataque de reentrada fue lo que le permitió a un atacante apoderarse de USD 7.000.000 de Origin, un proyecto de stablecoin. De ese monto, USD 1 millón era dinero depositado por los fundadores y empleados de la compañía, que habían creído e invertido en el proyecto.

El hacker logró inflar de forma artificial el suministro del token, para cambiar los tokens recién emitidos por USD Tether en los exchanges descentralizados Uniswap y Sushi Swap. Tras el ataque, el token Origin Dollar (OUSD) pensado para valer siempre USD 1, no resistió y su precio se desplomó un 85% horas más tarde.

El hecho, que ocurrió el 17 de noviembre no impidió que el proyecto continúe su curso. Origin, según sus desarrolladores, es «la primera stablecoin que obtiene un rendimiento mientras aún está en su monedero». Al momento de redacción de este artículo, el rendimiento anual es del 0,00 %, según puede verse en su sitio web.

Warp Finance (USD 7.700.000)

El ataque a Warp Finance es el más reciente de los presentados en esta selección. Ocurrió el jueves 17 de diciembre, apenas un día después de que se habilitara el soporte para préstamos en esta plataforma.

El operador malicioso pidió un préstamo flash que superaba los fondos disponibles en garantía y eso derivó en la pérdida de USD 7.700.000 en las stablecoins DAI y USDC. El atacante habría realizado la operación sin ningún tipo de impedimentos ni inconvenientes.

El equipo detrás de Warp Finance prometió un plan de compensación completo a las víctimas, que debería completarse antes de que culmine el año 2020. Esto incluye la emisión y entrega de un nuevo token (IOU) que sería usado en caso de que no se logre reponer la totalidad de los DAI y USDC. No se informó cuál sería el valor de ese token, si se trata de otra stablecoin o si quedará sujeto a las decisiones de oferentes y demandantes.

bZx (USD 8.000.000)

El tercer ataque que sufrió bZx durante el año, a mediados de septiembre, le costó la pérdida del equivalente a USD 8.000.000, lo que representaba el 30 % de los fondos depositados en sus contratos inteligentes.

Pero, para tranquilidad de los usuarios que seguían confiando en bZx a pesar de su historial, sus fondos no se encontraron en riesgo en esta ocasión. Los atacantes no fueron directamente por el dinero de los usuarios, sino que utilizaron vulnerabilidades de la plataforma para generar «dinero artificial».

Mediante la función _internalTransferForm() de los contratos inteligentes de ese protocolo, que poseía un error, los usuarios podían aumentar su saldo artificialmente para duplicar sus tokens y luego intercambiarlos por otros.

Según bZx, sus contratos inteligentes habían sido auditados en varias ocasiones antes de este hackeo. Este es un claro ejemplo de que las auditorías no son necesariamente una garantía de seguridad en este tipo de plataformas.

Pickle Finance (USD 20.000.000)

«Hay informes de que nuestra estrategia DAI PickleJar ha sido explotada. Estamos investigando activamente este asunto y proporcionaremos más actualizaciones». Con este mensaje en Twitter, el 21 de noviembre quienes tenían criptomonedas depositadas en Pickle Finance se enteraron de que algo no andaba bien.

Efectivamente, un hacker supo aprovechar vulnerabilidades del protocolo (auditado dos veces de forma independiente) para robar, mediante un ataque de reentrada, 20 millones de DAI.

Quienes no sufrieron la pérdida directamente, de todos modos se vieron afectados, porque el precio del token de gobernanza Pickle cayó un 50% en 24 horas.

El reconocido bitcoiner y cofundador de Morgan Creek Digital, Anthony Pompliano expresó su opinión sobre el hecho: «¿Alguien está sorprendido en este punto? La mayoría de estos proyectos DeFi no tienen auditorías, no tienen una verdadera gobernanza y no están descentralizados». Agregó que parece ser un «ICO 2.0», al comparar la «DeFi-manía» de 2020 con la gran expansión que las ofertas iniciales de moneda (ICO, por sus siglas en inglés) tuvieron en 2017.

Harvest Finance (USD 24.000.000)

El 26 de octubre de 2020, el protocolo Harvest Finance fue hackeado y, en solo 7 minutos se extrajeron USD 24.000.000 en criptomonedas de sus pools de liquidez.

El equipo de desarrolladores de este protocolo, que trabaja desde el anonimato, comunicó que el ataque se produjo mediante préstamos flash. El autor del hecho estudió las vulnerabilidades en el código y logró manipular los precios con el fin de drenar la liquidez del pool.

Tras el hecho, el precio del token de gobernanza FARM cayó un 65% en 24 horas. Este protocolo, aunque no es un fork, se asemeja bastante a Yearn Finance.

Lendf.me (USD 25.000.000)

El puesto número 1 de los hackeos en DeFi durante 2020 es para Lendf.me. El 18 de abril esta plataforma china de préstamos sufrió un ataque en el cual fueron sustraídas criptomonedas por el equivalente a USD 25.000.000.

Tal como informó CriptoNoticias, el robo tendría relación con una vulnerabilidad en el estándar ERC-777 de Ethereum. La falla se originó tras la integración de Lendf.me con imBTC, un token de Ethereum que mantiene paridad con bitcoin y que usa ese estándar como garantía.

La vulnerabilidad les permitió a los delincuentes efectuar los ya mencionados ataques de reentrada. Mediante esta técnica retiraron fondos de los pools de liquidez antes de que se produjera una actualización en el balance general.

La plataforma actualmente está dada de baja, el dominio Lendf.me está en venta y las redes sociales de este protocolo están abandonadas sin actualizaciones desde junio.

Para curiosos y ambiciosos

Estos 10 ejemplos muestran el estado general de muchos protocolos de finanzas descentralizadas. El afán de obtener ganancias con porcentajes de rendimiento anuales astronómicos, en ocasiones hace olvidar a los inversionistas esa regla del sentido común que reza: «si algo es demasiado bueno para ser cierto, probablemente no lo sea».

Es posible que la innovación en DeFi otorgue numerosos beneficios a los usuarios de criptomonedas y a la comunidad en general. Muchas personas desbancarizadas podrían beneficiarse del acceso a servicios financieros. Además, podrían evitarse demoras innecesarias y el pago de comisiones prescindibles. Pero todavía queda mucho camino por recorrer.

Para los curiosos y ambiciosos que no se amedrentan con los ejemplos aquí brindados y que igualmente pondrán sus criptomonedas en los protocolos DeFi que seguirán brotando por doquier, no está de más un recordatorio: jamás invertir más dinero del que se esté dispuesto a perder.