La brecha de seguridad de Bancor expone la última explotación de DeFi

Según un tweet de la plataforma de liquidez en cadena Bancor [@Bancor], en la madrugada del 18 de junio se descubrió una vulnerabilidad en la última versión de los smart contracts de la red:

Anoche a las 12:00AM GMT, se descubrió una vulnerabilidad en una nueva versión del smart contract de BancorNetwork v0.6 desplegada el 16 de junio de 2020. Todos los fondos de los usuarios están a salvo.

La plataforma añadió que ha desplegado una nueva versión del contrato de BancorNetwork que corrige la vulnerabilidad. No hubo más actualizaciones en el sitio web de la plataforma ni en el canal de Twitter en el momento de la prensa, sin embargo, un mensaje del grupo Bancor Telegram aseguró a los usuarios que todos los fondos estaban a salvo. Hex Capital [@Hex_Capital] ahondó en el misterio y descubrió un monedero objetivo en la que se puede haber desviado una cantidad considerable de fondos de los usuarios,

Parece que un monedero controlado por un banquero drenó 460 mil dólares de fondos de usuarios en riesgo a [dirección]. ¿Cuál es el plan para devolver eso, y cuántos fondos del usuario se perdieron por los atacantes?

El director de negocios de Kraken, Dan Held [@danheld], se apresuró a clavar el cuchillo digital, tuiteando “Otro día, otro defecto de guión de los niños de DeFi“. Mientras que el observador de la industria y el inversor, Stephen Cole [@sthenc], añadió;

La semana pasada Coinbase anunció que están considerando añadir soporte para Bancor. Esta semana los hackers están explotando una vulnerabilidad en Bancor para robar fondos de los usuarios.

¿Fondos DeFi vaciados?

Según Defi Pulse, el valor total bloqueado en dólares en la plataforma de Bancor se ha desplomado de 19 millones de dólares a 14,5 millones de dólares en los últimos dos días, pero queda por ver si esto está relacionado con la incursión digital.

Los usuarios pueden haberse puesto nerviosos por la brecha y posiblemente estén retirando fondos de la plataforma, temiendo nuevas explotaciones. La disminución no está en consonancia con el resto del mercado del DeFi, que en realidad ha aumentado en 50 millones de dólares en las últimas 24 horas. El sitio web de análisis de DeFi informa que Bancor es la novena plataforma más popular de la industria, que tuvo un valor total de bloqueo de alrededor de 20 millones de dólares durante el fin de semana anterior. El proveedor de análisis de la industria Defiprime [@defiprime] actualizó la situación afirmando que un ataque de white hat hackers para migrar fondos a la seguridad se realizó después del descubrimiento de la vulnerabilidad. Añadió que el smart contract fue auditado y confirmó que los fondos de los usuarios están seguros. Hex Capital disputó esa afirmación destacando otra transacción, y añadió;

No todos los fondos de los usuarios migraron de forma segura. Vea este tx por una dirección no controlada por el Bancor que drena casi 100 mil dólares de fondos de usuarios en BNT

Actualización del smart contract de Bancor

Aunque los detalles son escasos por el momento, la vulnerabilidad parece haber surgido de una reciente actualización de los contratos inteligentes de Bancor. En preparación para un próximo lanzamiento de Bancor V2, la plataforma introdujo una actualización de protocolo a la versión 0.6 para sus contratos inteligentes en Ethereum. En un anuncio hecho a finales de mayo, Bancor destacó los cambios en su protocolo, que incluían una importante reducción del 30% en promedio de los costos del gas, un nuevo proceso de creación de un fondo común de liquidez, un nuevo kit de desarrollo de software (SDK) y una interfaz simplificada de su smart contract. Bancor lanzó la interfaz web para su exchange descentralizado en octubre de 2017, tras un récord de su ICO en junio del mismo año. Tiene un token nativo llamado Bancor Network Token (BNT), que sirve como un ‘Smart Token hub’ conectando todos los demás tokens de la Red Bancor. La plataforma emplea un mecanismo algorítmico de creación de mercado mediante el uso de estos ‘Tokens Inteligentes’, que asegura la liquidez y la precisión de los precios manteniendo una proporción fija de tokens conectados como ETH. En el momento de la prensa, BNT había caído un 10% en ese día.

Brechas anteriores de DeFi

Esta última brecha no es la primera para la incipiente industria del DeFi, y lo más probable es que no sea la última. Sin embargo, eso no impidió que el espectro del cripto-tribalismo levantara su fea cabeza una vez más. En abril de este año, la plataforma china de préstamos DeFi lendf.me tuvo que pulsar el botón de pausa cuando 25 millones de dólares fueron robados de uno de sus contratos inteligentes. Una vulnerabilidad en la norma de tokens ERC-777 llevó a la explotación y a la pérdida de fondos. A principios de año, el protocolo DeFi de bZx vio robar poco menos de un millón de dólares en lo que se llamó un “ataque de manipulación de oráculos”. Dos ataques separados permitieron a un hacker llevar a cabo un “préstamo flash”, explotando la plataforma con un contrato inteligente que toma prestados fondos sin garantía y los paga en la misma transacción. Siempre habrá detractores de las nuevas tecnologías y sistemas, y aquellos que prefieran centrarse en sus debilidades en lugar de trabajar para hacerlas más fuertes y resistentes a tales ataques. A medida que el ecosistema de DeFi evolucione, estos problemas persistentes serán resueltos y surgirán nuevas plataformas “más inteligentes”. En todo caso, estos ataques a DeFi fomenta la innovación y la evolución. Este año ha sido un testamento del crecimiento de DeFi y la demanda de Ethereum que lo alimenta. Es de esperar que se den algunos baches en el camino digital hacia un futuro financiero descentralizado.