Los proyectos descentralizados del ecosistema DeFi Cream Finance y xToken vuelven a ser víctimas de un exploit de seguridad, perdiendo cerca de 30 millones de dólares en total.
Este lunes, los desarrolladores del protocolo de finanzas descentralizadas (DeFi) Cream Finance informaron a través de Twitter sobre una vulnerabilidad explotada en el protocolo descentralizado, que provocó la pérdida de más de 25 millones de dólares en tokens AMP y ETH. Según el informe de los desarrolladores al momento de esta edición, el atacante de Cream Finance logró extraer 418.311.571 tokens AMP de Flexa Network, además de 1.308 tokens ETH de Ethereum. En total, las pérdidas en dólares ascienden a más de 25,6 millones.
Cream Finance informó que el atacante encontró un fallo de seguridad en el contrato del token AMP y usó un préstamo flash para extraer los fondos del mismo. Como medida de seguridad, los desarrolladores detuvieron los depósitos y la solicitud de préstamos en el protocolo; una acción que no fue bien vista por algunos miembros de la criptocomunidad que defienden la descentralización.
Por otro lado, el protocolo DeFi xToken también sufrió una vulnerabilidad de seguridad en la que perdió unos 4,5 millones de dólares. En Twitter, los desarrolladores de este protocolo informaron que el contrato xSNX fue explotado, al igual que Cream Finance, utilizando un préstamo flash para extraer los fondos. Los desarrolladores publicaron un informe post mortem reconociendo que la complejidad de este producto ha abierto un “área de superficie significativa para las vulnerabilidades” en el protocolo DeFi, por lo que han decidido cerrarlo.
Te puede interesar: Los hacks a DeFi se popularizan y ocasionan pérdidas por valor de $474 millones este 2021
Ataques de préstamos flash
Los flash loan o préstamos flash se están convirtiendo en una de las herramientas favoritas de los atacantes que operan en el ecosistema de las finanzas descentralizadas. La irrupción de este tipo de préstamo en las DeFi ha hecho crecer exponencialmente el riesgo dentro del ecosistema en el último año.
A finales de abril, la firma de investigación y análisis blockchain Messari publicó un informe sobre los ataques a DeFi ocurridos desde 2019. En dicho informe, la firma señala que un 40% de los robos a protocolos descentralizados habían sido realizados a través de préstamos flash. CipherTrace, otra firma de análisis blockchain, dijo a mediados de este mes que los ataques a DeFi se están popularizando y que las pérdidas de valor dentro de este ecosistema financiero superan los 474 millones de dólares en lo que va de año.
Segundo exploit en lo que va de año
En el caso de Cream Finance, como en xToken, los recientes fallos de seguridad son los segundos exploits que sufren estos protocolos este 2021. Cream Finance fue vulnerado en febrero de este mismo año, a través de un hack que involucró al proyecto DeFi Alpha Finance Lab. En dicho hack, el atacante logró extraer 37,5 millones de dólares del protocolo.
Un mes después, para mediados de marzo, el protocolo DeFi también fue víctima de un ataque de suplantación de DNS, que buscaba estafar a los usuarios del protocolo mostrando una ventana falsa dentro del sitio web de Cream Finance, para solicitar información confidencial a las víctimas en un intento de robar sus claves privadas y sus fondos. Durante este ataque también fue víctima el protocolo descentralizado de la BSC PancakeSwap.
Por otro lado, en el mes de mayo xToken sufrió una vulnerabilidad de seguridad bastante similar a la actual, en el contrato xSNX. Los desarrolladores informaron sobre pérdidas de 25 millones de dólares por causa de un exploit ocurrido en los contratos de xSNXa y xBNTa. Para ese momento, los investigadores informaron que el atacante ejecutó una acción combinada para manipular el mercado en Kyber Network y explotar un error en los oráculos de precios de derivados de xToken, lo que le permitió extraer los fondos.
Hacks a DeFi
Los ataques recientes a Crem Finance y xToken ocurren a pocas semanas de haberse ejecutado el mayor hack a DeFi en la historia. El protocolo Poly Network vivió do semanas de gran incertidumbre cuando un atacante logró extraer 613 millones de dólares de su contrato. Por suerte, los desarrolladores llegaron a un acuerdo con el hacker, que resultó ser un “White Hat Hacker”, y que devolvió los fondos robados hace unos días atrás.
Además de las vulnerabilidades explotadas recientemente en estos protocolos DeFi, el exchange Bilaxy también cayó ante el ataque de los hackers, que lograron vulnerar su hot wallet ERC-20, extrayendo más de 290 tokens ERC-20 del monedero, con un valor entre $170.000 USD y varios millones de dólares, según informes no confirmados al momento de esta edición.
Continúa leyendo: El ecosistema DeFi pierde otros $7 millones en el reciente hack a The DAO Maker