Alpha Finance es el último protocolo de DeFi en caer ante un ataque de préstamos flash, que le ha costado la pérdida de 37 millones de dólares de su contrato Alpha Homora V2.
Según un informe emitido por los desarrolladores del protocolo, Alpha Finance es el último protocolo de las finanzas descentralizadas (DeFi) en ser afectado por un exploit de préstamos flash, uno que los analistas consideran que guarda gran similitud con el hack del protocolo Pickle Finance que ocurrió en noviembre del año pasado.
Inmediatamente de descubrir el ataque, los desarrolladores del protocolo suspendieron las actividades en el sistema del contrato Alpha Homora V2, y parchearon el error. Además, los desarrolladores iniciaron las investigaciones correspondientes para descubrir el modus operandi bajo el que actuaron los atacantes.
Los desarrolladores de Alpha Finance están trabajando en conjunto con Andre Cronje, creador del protocolo Yearn Finance, que también fue víctima de un ataque de préstamo flash reciente, que le provocó pérdidas por 11 millones de dólares en su bóveda yDAI v1, y con los desarrolladores de Cream Finance, un protocolo descentralizado que se fusionó con Yearn Finance a finales del año pasado para impulsar su crecimiento y desarrollo.
Te puede interesar: Yearn Finance es víctima de un millonario ataque de préstamos flash, pero no todo está perdido
Un sospechoso en la mira
En el tuit publicado por Alpha Finance, los desarrolladores informan que también están colaborando con diferente autoridades para rastrear a la persona detrás del ataque, y aseguran que ya tienen un sospechoso en la mira. No obstante, al momento de esta publicación, los desarrolladores no han informado sobre quién es el sospechoso de atacar al protocolo, aunque la cripto comunidad comienza a especular que se trata de un “trabajo interno”.
Por otro lado, los desarrolladores publicaron un informe post mortem completo para detallar la situación ocurrida con Alpha Homora V2, y señalaron que los fondos afectados no afectan a los usuarios, sino que es entre Alpha Homora V2 y Cream V2, por lo que se está trabajando con Cronje y con Cream para encontrar acciones correctivas y resolver la deuda.
¿Cómo ocurrió el ataque?
En primer lugar, se estima que el ataque involucró cerca de 9 transacciones, o más, que utilizaron préstamos flash. Como informa el equipo, el contrato atacado no estaba disponible en la interfaz de usuario ni se había anunciado públicamente, por lo que no había liquidez en él. Esto le permitió al atacante manipular e inflar completamente el montante total de la deuda y la participación total de la deuda, que como ya se mencionó, ascendió a 37 millones de dólares.
El atacante utilizó la función Iron Bank del grupo sUSD de Homora, que permite realizar préstamos apalancados, e introdujo un contrato personalizado falsificado, que el protocolo pensó que era “suyo”, para ejecutar el ataque. El informe explica que HomoraBankv2 acepta cualquier “hechizo” personalizado, siempre que el invariante compruebe ese colateral > pedir prestado. El “hechizo” en Alpha Finance es el término que utiliza el protocolo para definir los contratos inteligentes (smart contracts).
Acciones a tomar de Alpha Finance
El equipo de desarrollo del protocolo asegura que seguirán auditando el protocolo para descubrir posibles vulnerabilidades y exploits, y garantizar la máxima seguridad a los usuarios del protocolo. Alpha Finance cuenta con dos auditorías por parte de las firmas Quantstamp y PeckShield, y seguirá trabajando con más firmas de auditoría y desarrolladores para hacer del espacio DeFi uno más seguro y confiable para usuarios e inversores.
Los usuarios del protocolo se preguntan si Alpha Finance utilizará la acuñación para resolver la deuda con Cream, de forma similar a como lo hizo Yearn Finance para reponer los fondos perdidos en el exploit que sufrió hace unos días. Por el momento, los desarrolladores de Alpha no han realizado ninguna declaración al respecto.
Continúa leyendo: Los hacks en DeFi continúan en aumento, arriesgando los fondos de inversores y usuarios