Roban USDC 371.000 por vulnerabilidad en plataforma DeFi Opyn

La plataforma de finanzas descentralizada (DeFi), Opyn, dedicada a asegurar depósitos en las DeFi, comunicó el martes 4 de agosto la existencia de una vulnerabilidad que afectaba a los contratos de ETH Put.

El exploit permitía a un atacante realizar doble gasto de los tokens para opciones (oTokens)  y robar los colaterales de algunos vendedores de dichos puts. Opyn informó que, aunque pudo recuperar cerca de USDC 572.000, los atacantes lograron robar USDC 371.260.

Por ser un protocolo sin necesidad de permisos y descentralizado, Opyn no pudo bloquear el acceso a sus contratos luego de detectado el exploit, dice la startup en su blog. 

Para mitigar las pérdidas, removimos la liquidez de nuestros pools en Uniswap para evitar que otros usuarios compraran esos oTokens y quitamos el acceso a la compra de ETH Puts en el sitio web opyn.co.

Opyn

Para asegurar la liquidez de quienes poseían oTokens, Opyn ofreció comprar aquellos que estaban en manos de sus usuarios en el momento del exploit. Opyn ofreció comprar dichos tokens a un precio 20% por encima de su precio en Deribit, señaló la empresa.

Opyn también se comprometió a reemblosar los vendedores de ETH put que fueron afectados por la vulnerabilidad y que dará más detalles del proceso de reembolso a partir del próximo viernes.

Las vulnerabilidades en DeFi

De acuerdo a DeFi Pulse, el valor total bloqueado en Opyn superó en mayo los USD 2.000 millones, siendo la segunda vez en 2020 que sobrepasa la marca. Para el día de publicación, ha sufrido una brusca caída hasta los 1.092 millones de dólares.

Este auge exponencial de DeFi, impulsado en gran parte por el denominado yield farming, ha atraído también a los hackers. Estos buscan exploits y aprovechan para sus ataques las debilidades en los contratos inteligentes. Las plataformas aseguran que todos sus contratos están debidamente auditados, aunque los diferentes incidentes de seguridad ocurridos han mostrado fallas importantes tanto en los contratos, como de seguridad en el manejo de tokens. Esto ha llevado a pérdidas cuantiosas.

También se suman a este panorama los protocolos descentralizados y no permisionados, que no solo permiten que cualquiera pueda introducir monedas e iniciar esquemas fraudulentos, en caso de encontrar alguna vulnerabilidad. Además, como ocurrió con este incidente, la descentralización impidió bloquear los contratos afectados, por lo que Opyn procedió a eliminar la liquidez de los pools de Uniswap y evitar así el acceso a los oTokens.

En febrero de este año, por ejemplo, el servicio de comercio Fulcrum, de la plataforma DeFi bZx, recibió dos ataques que explotaron una vulnerabilidad en uno de sus contratos inteligentes. Este tipo de exploit permitió a los atacantes robar cerca de 1 millón de dólares estadounidenses.

A mediados de abril, atacantes desconocidos lograron sustraer USD 25 millones de la plataforma china para préstamos Lendf.Me, aprovechando un contrato inteligente vulnerable en conjunto con una posible falla de seguridad en el estándar ERC-777. Uniswap fue víctima de un ataque similar que resultó en el robo de 300.000 dólares.

Más recientemente, el 28 de junio pasado, otro tipo de exploit permitió sustraer 450.000 dólares de dos pools multitoken de la plataforma Balancer. Los atacantes lograron manipular los denominados tokens deflacionarios STA y STONK para reducir la liquidez casi a cero y aumentar su precio. Luego, la estafa se completó con la compra de tokens más costosos a través de gastos múltiples del mismo token.

En el caso de Opyn, a la luz de lo ocurrido, resulta paradójico repasar la presentación de esta plataforma DeFi, cuyo valor bloqueado no ha superado los USD 2 millones (un 0,05% del total): «Cualquiera puede comprar opciones (oTokens) para protegerse de los riesgos de DeFi».