El atacante falló al no usar una red descentralizada, usando sólo una VPN. Esto hizo visible la dirección IP, que estaba vinculada a las tres interacciones de intercambio. También se sabe que el atacante utilizó un Mac, así como la resolución de la pantalla y la configuración del idioma del sistema. Con las investigaciones en curso, se cree que el atacante devolvió los fondos con la esperanza de indulgencia. El socio gerente de Dragonfly Capital, Haseeb Qureshi, ha llamado a esto “la recompensa de bichos más dramática” que jamás haya visto.This is insane. The lendf/dForce hacker is in the process of returning all the hacked funds to the admin:
— Haseeb Qureshi (@hosseeb) April 21, 2020
$10M of ETH
$6.6M of USDT
$2.2M of HBTC
$750K of USDC
$381K of HUSD
$137K of DAI
$132K of MKR
$126K of PAX
Grand total of just over $20M.https://t.co/FLkJmv7m2A pic.twitter.com/6oaLgvnZMr
El ataque es un golpe a dForce, que sólo unos días antes recibió $1.5 millones en fondos iniciales liderados por Multicoin Capital. BeInCrypto solicitó un comentario a dForce, pero aún no hemos recibido una respuesta. El ataque comenzó a finales del sábado y continuó hasta el domingo. El consenso es que el atacante usó una vulnerabilidad en el protocolo ERC-777, un método similar al utilizado en el ataque de la Organización Autónoma Descentralizada de Ethereum (DAO) de 2016. El ataque vio más del 99% de los fondos de dForce robados – en activos que incluyen BTC, ETH, USDT, DAI, MKR, y PAX. El atacante centró sus esfuerzos en los protocolos UniSwap y Lendf.me. La plataforma de este último se ha desconectado, y el CEO de dForce, Mindao Yang, ha pedido a los usuarios que no mantengan activos en Lendf.me. Después del robo, el atacante movió fondos a las plataformas de DeFi Compound y Aave. En un tweet, el CEO de Compound, Robert Leshner, criticó a Lendf.me por redistribuir su código y esperaba que se aprendiera una lección del hack.This is the most dramatic bug bounty award I've ever seen.
— Haseeb Qureshi (@hosseeb) April 21, 2020
If a project doesn't have the expertise to develop it's own smart contracts, and instead steals and redeploys somebody else's copyrighted code, it's a sign that they don't have the capacity or intention to consider security.
— 🤖 Leshner (@rleshner) April 19, 2020
Hope developers & users learn from the @LendfMe hack.
DeFi Experimenta una test para resolver
El espacio de la financiación descentralizada (DeFi) ha experimentado un enorme crecimiento en el último año, y en su punto más alto ha mantenido más de $1 billon en fondos bloqueados. Sin embargo, las recientes transpiraciones han sido en gran parte negativas, con varias entidades en el espacio que han experimentado robos. El protocolo bZx vio robar aproximadamente $1 millón en febrero, siendo eso un “ataque de manipulación de oracle”. La decisión del equipo bZx de suspender la red fue criticada por ser centralizada. Estos ataques y las respuestas subsiguientes han templado algo del optimismo boyante que ha acompañado al crecimiento del DeFi. Casi a la mitad de su valor desde comienzos de 2020, el mercado del DeFi se mantiene ahora por encima de su mínimo de 2020, situándose en $736 millones en Ether cerrado en el momento de la publicación. La propia comunidad ha pedido una mejor seguridad, diciendo que la bifurcación de un protocolo de código abierto – Compound dice que dForce robó su código – sólo pone de relieve la prioridad de asegurar el código.Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
