El protocolo de finanzas descentralizadas (DeFi) KyberSwap ha emitido una advertencia sobre una posible vulnerabilidad en su plataforma de creador de mercado automatizado (AMM) KyberSwap Elastic, instando a todos los proveedores de liquidez a retirar sus fondos lo antes posible.
El 17 de abril, Kyber Network, desarrollador del exchange descentralizado de criptomonedas Kyberswap Elastic, comunico el problema mediante Twitter, emitiendo una advertencia pública para los usuarios de que había desconectado temporalmente todos los pools de liquidez de Elastic para solucionar la vulnerabilidad. El exchange especificó que no se han perdido fondos de usuarios; destacando que sólo los fondos de Kyberswap Elastic estaban en riesgo.
1/2
Attention KyberSwap Elastic Liquidity Providers:
We have identified a potential vulnerability, and as a precaution we strongly advise all Liquidity Providers to withdraw your funds on Elastic as soon as possible.Investigations are ongoing and no user funds are lost.
— Kyber Network (@KyberNetwork) April 17, 2023
KyberSwap TVL cae tras el anuncio de una posible vulnerabilidad
Sin embargo, el exchange descentralizado (DEX) recomendó encarecidamente a los proveedores de liquidez (LP) que retiraran sus fondos como medida de precaución. Además, el exchange también señaló que KyberSwap Classic, el protocolo de liquidez original de la empresa, no se vio afectado por el posible exploit.
En un tuit separado, el equipo escribió que las recompensas de farming se han suspendido temporalmente hasta que se pueda implementar un nuevo contrato inteligente. Al conocerse la noticia, los usuarios retiraron más de 56 millones de dólares de KyberSwap Elastic. Mientras tanto, los datos de DefiLlama sugirieron que su Valor Total Bloqueado (TVL) cayó de alrededor de $ 108 millones a $ 52 millones. Kyber escribió,
«Pondremos en pausa las granjas y las recompensas de farming a partir del 18 de abril de 2023, 11 pm (GMT+7), mientras se despliega un Contrato Inteligente Elástico KyberSwap actualizado. Todas las recompensas existentes que los usuarios de KyberSwap hayan ganado no se verán afectadas.»
2/2
All farms and farming rewards will be paused, unless otherwise stated.
As current farming rewards only work for existing pool contracts, the farms must be paused while the upgrade is being deployed.
The farms will be restarted after the new smart contract is deployed.— Kyber Network (@KyberNetwork) April 17, 2023
No es la primera vez que KyberSwap sufre un exploit. En septiembre de 2022, la plataforma perdió casi 265.000 dólares a causa de un exploit de front-end. Según el anuncio, los hackers lograron comprometer el front-end de la aplicación a través del script Google Tag Manager (GTM).
Utilizando un script malicioso inyectado a través de GTM, los hackers hicieron que los usuarios aprobaran sus fondos y los enviaran a la dirección del hacker. Los sitios web suelen utilizar scripts GTM para rastrear la actividad y los datos de los usuarios con fines analíticos.
¿Por qué las plataformas DeFi son susceptibles de ser pirateadas?
Los exploits relacionados con DeFi han experimentado un aumento masivo en los últimos años. Los protocolos descentralizados son especialmente vulnerables a diversos ataques e intentos de pirateo debido a su naturaleza de código abierto y al rápido ciclo de desarrollo de los proyectos DeFi. Con el tiempo, los hackers han explotado los protocolos DeFi a través de diversos métodos, incluyendo exploits de contratos inteligentes, rug pull, ataques de préstamo flash y ataques de reentrada, entre otros métodos mas sofisticados.
Parece que los protocolos DeFi han sido el principal objetivo de este tipo de ataques, que representan un 82% del total de ataques relacionados a las criptomonedas. Recientemente, la plataforma DeFi Hundred Finance sufrió un exploit en la solución de escalado de layer 2 Optimism de Ethereum (ETH), lo que provocó una pérdida de casi 7 millones de dólares.