El atacante de la DForce devuelve los $25 millones en fondos robados

La plataforma china de préstamos de DeFi, dForce, ha recibido la devolución de todos sus fondos robados, que ascienden a unos $25 millones. Es probable que el movimiento inesperado se deba a que el atacante no logró cubrir sus huellas, ya que los metadatos vinculados al atacante ofrecen muchos datos sobre la posible identidad del atacante.

This is insane. The lendf/dForce hacker is in the process of returning all the hacked funds to the admin:

$10M of ETH
$6.6M of USDT
$2.2M of HBTC
$750K of USDC
$381K of HUSD
$137K of DAI
$132K of MKR
$126K of PAX

Grand total of just over $20M.https://t.co/FLkJmv7m2A pic.twitter.com/6oaLgvnZMr

— Haseeb Qureshi (@hosseeb) April 21, 2020

El atacante falló al no usar una red descentralizada, usando sólo una VPN. Esto hizo visible la dirección IP, que estaba vinculada a las tres interacciones de intercambio. También se sabe que el atacante utilizó un Mac, así como la resolución de la pantalla y la configuración del idioma del sistema. Con las investigaciones en curso, se cree que el atacante devolvió los fondos con la esperanza de indulgencia. El socio gerente de Dragonfly Capital, Haseeb Qureshi, ha llamado a esto “la recompensa de bichos más dramática” que jamás haya visto.

This is the most dramatic bug bounty award I've ever seen.

— Haseeb Qureshi (@hosseeb) April 21, 2020

El ataque es un golpe a dForce, que sólo unos días antes recibió $1.5 millones en fondos iniciales liderados por Multicoin Capital. BeInCrypto solicitó un comentario a dForce, pero aún no hemos recibido una respuesta. El ataque comenzó a finales del sábado y continuó hasta el domingo. El consenso es que el atacante usó una vulnerabilidad en el protocolo ERC-777, un método similar al utilizado en el ataque de la Organización Autónoma Descentralizada de Ethereum (DAO) de 2016. El ataque vio más del 99% de los fondos de dForce robados – en activos que incluyen BTC, ETH, USDT, DAI, MKR, y PAX. El atacante centró sus esfuerzos en los protocolos UniSwap y Lendf.me. La plataforma de este último se ha desconectado, y el CEO de dForce, Mindao Yang, ha pedido a los usuarios que no mantengan activos en Lendf.me. Después del robo, el atacante movió fondos a las plataformas de DeFi Compound y Aave. En un tweet, el CEO de Compound, Robert Leshner, criticó a Lendf.me por redistribuir su código y esperaba que se aprendiera una lección del hack.

If a project doesn't have the expertise to develop it's own smart contracts, and instead steals and redeploys somebody else's copyrighted code, it's a sign that they don't have the capacity or intention to consider security.

Hope developers & users learn from the @LendfMe hack.

— 🤖 Leshner (@rleshner) April 19, 2020

DeFi Experimenta una test para resolver

El espacio de la financiación descentralizada (DeFi) ha experimentado un enorme crecimiento en el último año, y en su punto más alto ha mantenido más de $1 billon en fondos bloqueados. Sin embargo, las recientes transpiraciones han sido en gran parte negativas, con varias entidades en el espacio que han experimentado robos. El protocolo bZx vio robar aproximadamente $1 millón en febrero, siendo eso un “ataque de manipulación de oracle”. La decisión del equipo bZx de suspender la red fue criticada por ser centralizada. Estos ataques y las respuestas subsiguientes han templado algo del optimismo boyante que ha acompañado al crecimiento del DeFi. Casi a la mitad de su valor desde comienzos de 2020, el mercado del DeFi se mantiene ahora por encima de su mínimo de 2020, situándose en $736 millones en Ether cerrado en el momento de la publicación. La propia comunidad ha pedido una mejor seguridad, diciendo que la bifurcación de un protocolo de código abierto – Compound dice que dForce robó su código – sólo pone de relieve la prioridad de asegurar el código.