El protocolo de finanzas descentralizadas (DeFi), Hundred Finance sufrió un exploit en la solución de escalado de capa 2 Optimism de Ethereum (ETH), lo que provocó una pérdida de casi 7 millones de dólares.
El 16 de abril, la empresa de auditoría de seguridad CertiK reveló en Twitter que se trataba de un ataque de préstamo relámpago que permitió al pirata manipular el tipo de cambio entre tokens ERC-20 y hTOKENS, lo que permitió a los autores retirar más tokens de los depositados originalmente.
Según la empresa de seguridad, el hacker donó una gran cantidad de Wrapped Bitcoin (WBTC) al contrato de hTOKENs, lo que provocó la subida del tipo de cambio. A continuación, el atacante aprovechó ese tipo de cambio para tomar una gran posición de préstamo con el nuevo tipo de cambio y reembolsó la cantidad inicial que había depositado. Esto acabó provocando la enorme pérdida de Hundred Finance.
#CertiKSkynetAlert 🚨@HundredFinance’s attacker manipulated the exchange rate between ERC-20 tokens and htokens which allowed them to withdraw more tokens than they had originally deposited. The estimated losses of this attack is around $7.4 million.
Stay vigilant! https://t.co/1hxAnFoNjj
— CertiK Alert (@CertiKAlert) April 15, 2023
¿Cómo se produjo el fallo?
Mientras tanto, según otra empresa de seguridad blockchain Peckshield, el hacker robó los fondos donando 200 WBTC para inflar el tipo de cambio de hWBTC. Esto hizo posible drenar los fondos de préstamo con la escasa cantidad de hWBTC desplegada por la entidad maliciosa. El diagnóstico se produjo después de que Hundred Finance anunciara el exploit el 15 de abril, diciendo que se había puesto en contacto con el hacker y que estaba trabajando con varios equipos de seguridad en relación con el exploit. CertiK escribió,
«La fórmula del tipo de cambio fue manipulada a través del valor Cash. Cash es la cantidad de WBTC que tiene el contrato hBTC. El atacante lo manipuló donando grandes cantidades de WBTC al contrato de hToken para que el exchange rate suba.»
Estimated current loss is ~7m USD.
Once again we hope the hacker will reach out back to us and we will be able to find a joint solution to resolve this matter. 🙏
Thank you everyone for your support and help during these difficult times. ❤️ https://t.co/wLGAl4AAGA
— Hundred Finance (@HundredFinance) April 15, 2023
No es la primera vez que Hundred Finance sufre un ataque. El año pasado, Hundred se vio expuesta a otro exploit en la cadena Gnosis, donde el hacker drenó toda la liquidez del protocolo mediante un ataque de reentrada, lo que provocó una pérdida de más de 6 millones de dólares. En el mismo ataque, el hacker también robó fondos del protocolo Agave.
Aumentan los ataques a los DeFi
Los ataques a DeFi han experimentado a un espectacular ritmo en los últimos años, con atacantes que han robado casi 119 millones de dólares en criptomonedas en 19 ataques desde principios de este año. El mayor ataque a DeFi en lo que va de año fue el de febrero a Bonq DAO, un protocolo de préstamo descentralizado. Los piratas informáticos comprometieron el contrato inteligente del protocolo y manipularon el precio de los tokens de alliance Block, sustrayendo 88 millones de dólares en criptomonedas del protocolo.
Según varios informes, desde 2011 se han perdido más de 16.700 millones de dólares en criptomonedas en varios hackeos y estafas. Recientemente, una mujer de 55 años residente en Hong Kong perdió casi 891.723 dólares en dos meses tras ser víctima de una estafa online de supuestas inversiónes en criptomonedas.