En un ataque combinado de préstamos flash y de contrato malicioso, el exchange descentralizado DODO perdió cerca de 3,8 millones de dólares de 4 de sus pools de liquidez. Hasta el momento, se han recuperado 1,89 millones de dólares de los fondos robados.
El número de protocolos de DeFi vulnerados por ataques de préstamos flash aumenta casi cada semana. Ahora, el protocolo de exchange descentralizado (DEX) DODO se une a engrosar la lista de los que ya han sido víctimas de este tipo de ataque; uno ya muy popular y conocido en los sistemas descentralizados.
Como explican los desarrolladores del proyecto, el protocolo fue engañado por un hacker, que encontró un error en el contrato inteligente y lo aprovechó para introducir un contrato malicioso que contenía tokens falsos, que fueron utilizados para solicitar préstamos flash dentro del protocolo, y con los cuales se logró extraer tokens reales de 4 de sus pools de liquidez. Después de hacer una autoría de los fondos, DODO informó que las pérdidas ascienden a 3,8 millones de dólares. Los fondos robados fueron extraídos de las pools de liquidez que pertenecen a DODO V2 Crowdpools, específicamente de WSZO, WCRES, ETHA y FUSI; aunque los fondos depositados en el resto de las pools, incluidos los de V1, están intactos y ahora permanecen seguros.
DODO le permite a los marcadores del mercado depositar fondos dentro de los grupos o pools de liquidez, para que los operadores de mercado puedan comprar y vender tokens desde estos grupos. Este DEX se ubica como el noveno DEX más grande en el mercado por liquidez o Total de Valor Bloqueado, con cerca de 39 millones de dólares depositados. Por otro lado, DODO es un protocolo que se ejecuta actualmente en la blockchain de Ethereum y también en la BSC (Binance Smart Chain).
Te puede interesar: Nuevo ataque en DeFi deja Alpha Finance con una perdida de 37 millones de dólares
Detalles del ataque
Según las investigaciones, el ataque fue perpetrado por dos individuos: un bot y un hacker. El hacker retiró dinero en ETH desde un exchange centralizado y luego ejecutó 7 transacciones de retiro de forma consecutiva donde extrajo valor en las stablecoins BUSD y USDT.
Al menos el 50% de los fondos
En su comunicado, los desarrolladores del proyecto afirmaron que esperan que el hacker devuelva al menos el 50% de los fondos robados; es decir, cerca de 1,88 millones de dólares. Esto porque la persona que ejecutó el ataque ya se puso en contacto con el equipo de trabajo, y acordó regresar el dinero extraído de DODO, por lo que los desarrolladores esperan que sea al menos el 50%.
Al momento de escribir este artículo, efectivamente el hacker ha devuelto parte del dinero robado. Los desarrolladores de DODO anunciaron que ya tienen devuelta 1,89 millones de dólares, y que se están implementando los mecanismos necesarios para devolver estos fondos a sus propietarios afectados por el ataque.
DeFi aún experimental y vulnerable
Los constantes ataques y exploits que ocurren dentro de los ecosistemas de finanzas descentralizadas demuestran que, pese al potencial disruptivo de estos ecosistemas, a los desarrolladores les queda un largo camino por recorrer para poder garantizar una absoluta seguridad y confianza para los usuarios y sus fondos.
En lo que va de año, varios protocolos DeFi han sido víctimas de vulnerabilidades y exploits, casi todos relacionados con ataques de préstamos flash, que parece ser la modalidad preferida por los ciberdelincuentes para hacerse con gran parte del dinero depositado dentro de estos protocolos.
A inicios de mes, Furucombo perdió cerca de 15 millones de dólares producto de un exploit ocasionado por un contrato malicioso. Al momento de esta nota, los desarrolladores de Furucombo informaron que emitirán tokens iouCOMBO para compensar las pérdidas de los usuarios afectados. Del mismo modo, en el mes de febrero, el proyecto DeFi, Alpha Finance, perdió cerca de 37 millones de dólares, y SushiSwap, uno de los DEX más populares de la industria, logró frenar un ataque a tiempo, y solo perdió cerca de 15.000 dólares; parte de estos fondos fueron dados al hacker como recompensa por descubrir la vulnerabilidad en SushiSwap.
Continúa leyendo: Otro exploit en DeFi se lleva botín de $15 millones del protocolo Furucombo