DeFi Cover es explotada: atacante emite 40 quintillones de tokens

Una vulnerabilidad en la plataforma de finanzas descentralizadas (DeFi), Cover, fue explotada este lunes 28 de diciembre. La falla le permitió al atacante emitir de forma infinita el token de Cover Protocol (COVER).

De acuerdo con el servicio informativo sobre proyectos basados en la red Ethereum, Etherscan.io, la cifra de tokens acuñados ya supera los 40 quintillones. De ese monto el intruso habría logrado vender el equivalente de 5 millones de dólares, reportaron medios digitales.

Lo ocurrido impactó en la cotización del token con una precipitada caída en el mercado de criptomonedas. Según CoinGecko, COVER mostraba un precio de 860 dólares por unidad durante la madrugada del lunes. Sin embargo, a las 9:00 de la mañana la cotización era solo de unos 50 dólares, lo que representa un bajón del 80%. Al momento de publicar este artículo el precio se estabilizó alrededor de los 246 dólares.

La falla explotada sería el «error de minería infinita» en el contrato inteligente de incentivos de Cover, informó el desarrollador @Luciano_vPEPO a través de su cuenta en Twitter. La naturaleza del ataque también fue reseñada por la firma de análisis Nansen, quien ofreció otros detalles sobre el hecho.

«El atacante acuñó durante aproximadamente 2 horas, luego arrojó 113 $COVER en (el exchange) 1inch. El acuñado siguió durante 1 hora más o menos y luego volcó todo aquí», indicó Nansen que muestra una serie de transacciones que involucran a Uniswap, Balancer, 1inch y SushiSwap. Las operaciones incluyen tokens como Wrapped Ether (WETH), Wrapped BTC (WBTC) y COVER.

Atacantes de la DeFi Cover

Cerca de las 10:00 de la mañana uno de los presuntos atacantes, identificado como @GrapFinance en Twitter, publicó que devolvió fondos liquidados por un monto de 3,1 millones de dólares.

«La próxima vez, ocúpate de tu propia mierda», escribió el intruso quien quemó el resto de los tokens acuñados, de acuerdo con The Block. Cover, de reciente fusión con Yearn.Finance, también informó que el incidente estaba investigándose y que el exploit ya no «era posible», pero recomendó no comprar tokens y que los usuarios eliminaran su liquidez del pool COVER / ETH en Sushiswap.

La situación generó reacciones en los exchanges de criptomonedas. Binance emitió un comunicado en el que anunció que suspendería el comercio o trading con el token. Además, los depósitos de COVER se habían detenido para resguardar a los operadores. Los retiros se mantenían abiertos al momento de publicar este artículo.

El exchange Huobi, aunque no tenía enlistado el token COVER, anunció que colocaría en su «lista negra» todas las direcciones relacionadas con la vulnerabilidad. La medida fue dada a conocer en Twitter alrededor de las 9:00 de la mañana.

La vulnerabilidad también fue cuestionada por el usuario @SpankyMartinezz quien criticó los mecanismos que estarían implementándose para las auditorías en este tipo de servicios. Sobre el error y la labor de los desarrolladores argumentó:

«Hay algunos auditores con una comprensión simple/básica de lo que realmente están haciendo. Una demanda masiva y el que no haya suficientes auditores calificados significa que los auditores novatos son contratados para grandes proyectos».

El 2020 fue un año de constantes ataques para las DeFi en todo el mundo. CriptoNoticias publicó este viernes un reportaje especial que incluye los 10 mayores hackeos a plataformas DeFi durante el 2020. Se trata de un repaso por los ataques a servicios como los de Lendf.me, Harvest Finance, Pickle Finance y bZx.