Otro terrible exploit acaba de ocurrir en DeFi, esta vez, la víctima es el protocolo descentralizado Cover, que vio cómo un hacker imprimía más de 40 trillones de tokens COVER en su plataforma.
El protocolo de DeFi, Cover Protocol, acaba de informar en su cuenta de Twitter uno de los mayores incidentes ocurridos en los ecosistemas de las finanzas descentralizadas este año. Cover Protocol fue víctima de un exploit en que un hacker logró acuñar, o imprimir, una cantidad de tokens COVER verdaderamente inusual, insólita y excepcional. Más de 40 trillones de COVER, o para ser exactos, un total 40.796.131.214.802.500.000,21 tokens COVER, se acuñaron dentro de la plataforma este lunes, con un valor de más de 12,2 cuatrillones de dólares según el precio actual del token en los mercados al momento de esta publicación.
Actualmente, el valor de COVER en los mercados ha caído en más del 97% después de conocerse el ataque, según muestra CoinMarketCap, cotizando cerca de los 30 $ USD por unidad. Por su parte, CoinGecko, otro proveedor de datos de mercados para las criptomonedas, señala una caída cercana al 70%, para COVER, que en esta plataforma mantiene un valor cercano a los 250 $ USD. En días pasados, COVER había alcanzado un valor de más de 1.400 $ USD, siendo uno de los tokens de DeFi con mayores rendimientos en el ecosistema este año.
Te puede interesar: Hack en Pickle Finance, otro proyecto DeFi que cae ante los hackers
¿Qué sucedió?
En su canal de Discord, Cover Protocol indicó que el exploit estaba causado por un fallo en el contrato de farming de Blacksmith, lo que le permitió a un hacker acuñar monedas de forma infinita. En el mensaje, los desarrolladores de Cover también indicaron que a pesar del exploit, el protocolo como tal no se vio afectado, sino únicamente el suministro de los incentivos en COVER donde el hacker pudo imprimir tantas monedas como le fue posible.
Así mismo, el desarrollador conocido como Banteg, cita que la respuesta de los desarrolladores ante este ataque fue demorada debido a que a la hora en la que ocurrió la mayoría de ellos se encontraban dormidos, y al momento de percatarse del exploit, ya se habían acuñado los más de 40 trillones de tokens COVER. Banteg también cita que al momento de estar investigando sobre lo sucedido en Cover, se encontraron con la increíble transacción.
Por su parte, el director de tecnología de Band Protocol, Sorawit Suriyakarn, señaló que se trata de un ataque único en DeFi hasta ahora, porque la forma en la que se ejecutó no se ha reflejado en ninguno de los ataques y exploits sufridos anteriormente dentro de estos protocolos. Suriyakarn explicó que, a su juicio, el ataque se ejecutó de la siguiente manera: “Depositar tokens LP en el contrato de Blacksmith; Retirar casi todos los tokens LP para inflar “accRewardsPerToken”; Depositar tokens LP nuevamente (esta es la parte interesante); Reclamar las recompensas COVER y engañar al contrato para acuñar un trillón de tokens $ COVER”.
Así es como explica Suriyakarn que el hacker logró engañar al protocolo, explotando una vulnerabilidad presente que implica el uso incorrecto de la memoria y el almacenamiento en Solidity para cuñar fondos infinitos.
Un giro inesperado
Para cuando el equipo de Cover Protocol se percató del ataque, el hacker ya había liquidado cerca de 11.700 tokens COVER dentro del exchange descentralizado (DEX) 1INCH e intercambió el equivalente a unos 5 millones de dólares dentro de este protocolo. Según parece, el intercambio se realizó por 1.000.000 de DAI, 1.400 ETH y 90 WBTC.
No obstante, en un giro inesperado, Grap.finance, un conocido hacker de cuello blanco, se atribuyó el ataque y devolvió la mayoría de estos fondos; hasta ahora, más de 3 millones de dólares en ETH, además de la impresionante cantidad de tokens COVER que había acuñado durante el ataque. Grap.finance ha devuelto un total de 4.350 ETH a Cover Protocol. Además, el hacker dejó un mensaje a los desarrolladores donde les dice que la próxima vez deben ocuparse de su propia mierda y quemó el resto de los tokens acuñados.
Fusión de Defi con Yearn Finance
Cover Protocol es uno de los protocolos de DeFi que recientemente se fusionó con Yearn Finance, el protocolo DeFi de yield farming. Para el momento de la fusión, el desarrollador de Yearn Finance, Andre Cronje, señaló que la unión favorecería a ambos protocolos, mejorando las competencias y las funciones básicas de ambos. De esta forma integrarían nuevos productos que los hicieran más atractivos para los inversores y usuarios del ecosistema descentralizado.
En esta fusión, Cover haría de proveedor de cobertura para otros protocolos DeFi, permitiendo a las comunidades y desarrolladores crear sus propios ecosistemas de cobertura de forma segura y sin gastos generales adicionales; además, su token CLAIM pasaría a ser un activo prestable en Yearn.
La ironía de este ataque recae sobre esto: Cover es un protocolo de seguros y cobertura diseñado para ayudar los usuarios de otros protocolos de DeFi a reducir los riesgos asociados con fallos dentro de los contratos inteligentes de estos ecosistemas. Pero ahora, son sus propios usuarios quienes necesitan ayuda.
Cover ¿La muerte temprana de un protocolo?
Pese a que el hacker devolvió prácticamente todos los fondos al protocolo, el exploit no deja de ser una preocupación para los participantes de este proyecto y para la comunidad DeFi en general. Debido a este fallo, Cover Protocol puede llegar a perder gran parte de su credibilidad. Muchos ya comienzan a preguntarse si este protocolo había sido auditado, y si así fue, ¿por qué los desarrolladores no habían descubierto la vulnerabilidad existente? O si el caso fue que la conocían y no habían hablado de ello. Sea como sea, los ataques y hacks a DeFi, que se hicieron especialmente frecuentes este año y en este último trimestre, están causando grandes decepciones e incertidumbres en un ecosistema con tanto potencial financiero como lo es DeFi.
Tras el ataque y la abrupta caída de precios de COVER, exchanges como Binance, cerraron las operaciones con este token, suspendiendo todos los pares comerciales para proteger a sus usuarios. Binance anunció la integración de COVER a su lista de token para trading el pasado 7 de diciembre.
Hasta ahora, los desarrolladores de Cover Protocol y los desarrolladores del ecosistema Yearn están trabajando para solucionar la situación y ayudar al protocolo. El usuario Facu ⟠ fameal.eth comparó estas acciones en conjunto con la Liga de la Justicia, destacando que sí existe y que “no vuelvan, codifiquen”. Por último, Cover señaló que está estudiando la posibilidad de lanzar un nuevo token COVER, con una instantánea del protocolo antes de que ocurriera el ataque.
Continúa leyendo: Hackers dentro del Departamento del Tesoro y otras agencias estadounidenses