Un nuevo hack en DeFi toma como víctima al protocolo Uranium Finance, de la BSC, y lo deja con 50 millones de dólares en pérdidas. El hack ocurrió durante la migración del protocolo a su segunda versión.
Las finanzas descentralizadas (DeFi) vuelven a sacudirse con un hack que deja pérdidas por valor de 50 millones de dólares, que fueron extraídos del protocolo Uranium Finance en varias criptomonedas. Según los informes que presentaron los desarrolladores del protocolo, basado en la BSC, en su cuenta de Twitter, el exploit ocurrió mientras el proyecto migraba a su segunda versión, para parchear una vulnerabilidad de seguridad encontrada por los auditores.
Los desarrolladores de Uranium Finance informaron que “la migración de Uranium ha sido explotada”, y compartieron la dirección a donde se enviaron los fondos robados, invitando a los usuarios e inversores a compartir y denunciar la dirección para que Binance la bloqueara. En esta puede verse que los 50 millones de dólares que perdió el protocolo se extrajeron en varias criptomonedas y activos digitales, incluyendo Bitcoin (BTC), Ethereum (ETH), Binance USD (BUSD), Binance Coin (BNB) y U92, el token nativo del protocolo DeFi.
Hasta el momento, los desarrolladores aseguran que están trabajando con los equipos de seguridad de Binance para rastrear y bloquear los fondos robados, y continúan haciendo un llamado a los responsables del hackeo, para negociar y devolver los fondos a los usuarios e inversores afectados.
“Si está en posesión de los fondos o conoce a alguien que lo esté, comuníquese conmigo ahora para concertar un trato antes de que aumente”.
En lo que va de año, las DeFi han sufrido al menos una docena de hackeos, que ya suman más de 160 millones de dólares en pérdidas. Hasta ahora, este último hack ha sido el más grande a DeFi, en términos de valor, este 2021.
Te puede interesar: Nuevo ataque en DeFi deja Alpha Finance con una perdida de 37 millones de dólares
Confianza en los equipos fragmentada
Aunque los desarrolladores no han emitido ningún informe oficial, en su canal de Telegram, parece que el equipo sospecha que el hack es producto de un trabajo interno; donde los desarrolladores y los auditores del protocolo son los principales sospechosos.
En Telegram, el administrador del grupo, que se presenta con el pseudónimo de Baymax, fijó un mensaje indicando que una auditoría realizada al protocolo DeFi había arrojado una vulnerabilidad de baja gravedad, pero que estaba presente en el proyecto y que ponía en riesgo la liquidez del protocolo, que superaba los 80 millones de dólares.
Para corregir el fallo de seguridad, el equipo optó por crear una segunda versión de Uranium Finance, la v2.1, y comenzar a migrar el protocolo. No obstante, durante esta migración, un hacker explotó la vulnerabilidad presente y logró extraer más del 60% de los fondos depositados.
“Tuvimos que optar por la (opción) 2. Y estábamos a sólo 2 horas de la v2.1 cuando se produjo el exploit”.
Hack a Uranium Finance: Un trabajo interno
Baymax asegura que muy pocas personas conocían el exploit. “Hay un total de 7 personas en Uranium que conocían el exploit. Fuera de Uranium, estarían los 3 auditores contratistas y sus respectivos (subconstratistas) que podrían estar al tanto de este fallo”. Por lo que él sospecha es que fue un trabajo interno. Para Baymax, alguien del equipo o de los auditores tuvo que explotar la vulnerabilidad o filtrar la información para que otro lo hiciera.
Baymax invitó a todos los usuarios e inversores a eliminar o retirar su liquidez del protocolo DeFi. Además, destacó que cualquier dato o información debían enviarla a él por mensaje privado y de forma directa, y no a ninguno de los miembros del equipo de desarrollo de Uranium Finance.
Sospechas de la cripto comunidad y los afectados
A pesar de las declaraciones de Baymax, y de señalar que él ha perdido el 90% de su portafolio de inversión en este hack, algunos miembros de la cripto comunidad no quedaron muy satisfechos con las explicaciones.
Uno de los usuarios comentó que a su parecer la vulnerabilidad la “crearon” en la versión 2 para extraer los fondos; mientras que otros dudan de que “mantener el silencio y el anuncio abierto fueran las únicas dos opciones”, aludiendo a las explicaciones de Baymax sobre sus “únicas” dos opciones para solucionar la vulnerabilidad que detectaron los auditores.
Otros usuarios afectados también están cuestionando el por qué el equipo no realizó un “ataque whitehat” o hackeo blanco para proteger los fondos depositados, en lugar de haber esperado todo un día mientras preparaban la segunda versión, y haber dado tiempo para que los hackers se aprovecharán de la vulnerabilidad.
Hasta ahora, tanto las declaraciones de Baymax como de los usuarios son simples suposiciones. No obstante, de confirmarse que los desarrolladores están relacionados con el hack, Uranium sería el segundo protocolo DeFi de la BSC que cae por causa de sus propios desarrolladores. El primero de estos casos es el de TurtleDEX, cuyo equipo desapareció con 2,5 millones de dólares de los inversores, en un llamado “Rugpull”.
La BSC, donde se desarrolla Uranium Finance y TurtleDEX, es una blockchain que está creciendo en popularidad gracias a su escalabilidad y bajas tarifas de comisión, pero parece que también se está convirtiendo en un lugar que alberga a desarrolladores poco conocidos y poco éticos, que no tienen conmiseración de los inversores.
Continúa leyendo: Seguros, un sector cada vez más emergente y prometedor para el futuro DeFi, dice ShapeShift