El protocolo de yield farming basado en Polygon, PolyYeld Finance se ha convertido en la última víctima de un exploit en sus contratos inteligentes. Según la firma de análisis de datos y seguridad de blockchain PeckShield Inc., los piratas informáticos pudieron acuñar 4,995 mil millones de tokens YELD nativos y luego intercambiar el 4% de ellos por aproximadamente 123 ETH [con aproximadamente $ 250K].
Se utilizaron plataformas destacadas de finanzas descentralizadas [DeFi] QuickSwap, SushiSwap y ApeSwap para el hackeo. YELD redujo todo su valor y se desplomó en un 100% como resultado del exploit. Actualmente se tambalea cerca de cero.
La compañía también sacó a la luz que el hackeo se debió a la falta de soporte de tokens deflacionarios en MasterChef. Nota: El contrato MasterChef es utilizado por muchas granjas de rendimiento, incluido el popular gigante PancakeSwap, basado en Binance Smart Chain, para distribuir incentivos.
Volviendo a la investigación de PeckShield, la empresa explicó que un token deflacionario xYELD cobra una tarifa por sus transferencias. El saldo xYELD del fondo común se convierte en 1 WEI, como resultado de depósitos y retiros repetidos. Esto es lo que allanó el camino para la explotación real, afirma la firma de seguridad.
2/5
The hack was due to the lack of deflationary token support in MasterChef. Specifically, a deflationary token xYELD charges a fee on its transfers. With repeated deposits and withdraws, the xYELD balance of the pool becomes 1 WEI, which sets the stage for actual exploitation. pic.twitter.com/W7EQA0JVi4— PeckShield Inc. (@peckshield) July 28, 2021
PeckShield también detalló,
«En el exploit, el cálculo de la recompensa YELD se basa en el saldo xYELD del grupo, que actualmente es de 1 WEI. Un saldo tan bajo del grupo se considera el monto total apostado, por lo que se infla drásticamente el monto de la recompensa para el atacante (con el 4,995 billones YELD)».
Además de eso, la firma también mencionó que la ganancia de 123 ETH se transfirió a Ethereum a través de Polygon Ether Bridge casi de inmediato. PolyYeld Finance, por otro lado, aún debe reconocer o publicar un informe post-mortem del mismo.
Es importante entender que los protocolos DeFi basados en Polygon han mostrado una enorme innovación en un lapso de tiempo muy corto. El espacio financiero descentralizado ha seguido viendo la pérdida de cientos de millones de fondos por piratería, robo, tirones de alfombras y fallas del sistema desde que el subsector disruptivo de la criptografía explotó en popularidad.
El TITAN acecha
Según Paladin Blockchain Security, Masterchef de PolyYeld Layer1 fue explotado utilizando un mecanismo similar a la caída de Cerberus, Garuda, Ketchup, Piggy, CaramelSwap y otros. La firma señaló,
«El token Yeld contiene un impuesto de transferencia y se agregó al pid 16 en el Yeld L1 Masterchef, que desafortunadamente no podía admitir tokens con impuestos de transferencia. El sistema de referencia acuñó 4.9 billones de tokens Yeld que luego se lanzaron al mercado».
Crypto-economy había informado anteriormente de la caída del robo de DeFi de Iron Finance, y un caso de elaborado pulido de alfombra que activó su token nativo, TITAN, para volver a cero.
Si este artículo le pareció interesante, aquí puede encontrar más noticias sobre DeFi