El protocolo DeFi Furucombo, diseñado para facilitar el procesamiento de transacciones dentro de estos espacios, fue víctima de un exploit reciente que los despojó de 15 millones de dólares aproximadamente.
El mes de febrero cierra con un nuevo ataque en DeFi. La víctima ahora es el protocolo Furucombo, una herramienta de optimización de DeFi que le permite a los usuarios agilizar el procesamiento de sus transacciones por lotes y también mejorar sus estrategias dentro del ecosistema de las finanzas descentralizadas. Los desarrolladores de este protocolo informaron de un exploit reciente, que ejecutó un atacante utilizando un contrato falso, que engañó al protocolo para robar fondos por valor de unos 15 millones de dólares aproximadamente.
Un par de horas después de descubrir el ataque, los desarrolladores de Furucombo informaron a la cripto comunidad de la totalidad de los fondos perdidos, asegurando que la vulnerabilidad que logró explotar el atacante ya ha sido parcheada dentro del proyecto, y que ahora los fondos de los usuarios ya se encuentran a salvo.
Al momento de detectar el ataque, Furucombo había informado a la comunidad y pidió que los usuarios revocaran los permisos y retiraran los fondos del proyecto por precaución, para estar protegidos del ataque. Los 15 millones de dólares fueron extraídos del proyecto utilizando varios tokens ERC-20 y ETH, la criptomoneda de la red Ethereum.
Te puede interesar: Yearn Finance es víctima de un millonario ataque de préstamos flash, pero no todo está perdido
$63 millones perdidos en ataques a DeFi este mes
Este mes de febrero, tres protocolos DeFi fueron víctimas de tres ataques o exploits, en el que se perdieron grandes sumas de dinero, y que sonaron por las hazañas informáticas que realizaron sus atacantes. La primera víctima fue Yearn Finance, el protocolo de yield farming o agricultura de rendimiento de DeFi, que vio un exploit de 11 millones de dólares en su bóveda de rendimiento yDAI v1. El atacante encontró una vulnerabilidad dentro de uno de los contratos de Yearn Finance, que explotó utilizando una serie de transacciones con criptomonedas como ETH y las stablecoins DAI (DAI), Tether (USDT) y USD Coin (USDC) dentro de los protocolo dYdX, Compound y Curve.
A menos de una semana de ejecutarse el ataque a Yearn Finance, Alpha Finance pasó a engrosar la lista de protocolos DeFi víctimas de estos exploits. Aunque este protocolo también fue vulnerado a través e un préstamo flash, el atacante introdujo un contrato falso para extraer valor de uno de los contratos de Alpha que no se había anunciado públicamente. El atacante logró engañar al protocolo para que creyera que el contrato falso era “suyo” y con esta hazaña manipuló e infló artificialmente el protocolo para extraer 37 millones de dólares.
Furucombo es la tercera gran víctima de este mes, con un exploit de 15 millones de dólares. El atacante de Furucombo también utilizó un contrato falso para engañar y manipular al protocolo. Según informa Igor Igamberdiev, analista de investigación de The Block Research, el contrato falso le hizo creer a Furucombo que era una nueva implementación del protocolo Aave V2, dejando que el atacante tuviera acceso al protocolo y realizara múltiples transferencias de tokens, que fueron aprobadas a una dirección de arbitraje.
Según explica Igamberdiev, los fondos se extrajeron en múltiples tokens, como: DAI, USDC, USDT, aAAVE, wBTC, LINK, cETH, COMBO, sETH, y más.
Plan de mitigación
El equipo de Furucombo aseguró estar trabajando en un plan de mitigación, para reparar los daños que el exploit causó a los usuarios del proyecto. Mientras tanto, la cripto comunidad se cuestiona sobre la efectividad y la veracidad de los proyectos de auditoria y revisión, y sobre los programas de recompensas por errores que implementan estos protocolos para incentivar su seguridad y la de sus usuarios.
El primer proyecto DeFi que reportó un exploit por un contrato falso fue Pickle Finance en noviembre del año; y al parecer, este tipo de ataques se está volviendo cada vez más frecuente dentro del espacio de las finanzas descentralizadas.
Continúa leyendo: Hack en Pickle Finance, otro proyecto DeFi que cae ante los hackers