Las finanzas descentralizadas (DeFi, siglas en inglés) es un sector transgresor en el ámbito de la tecnología y de las finanzas. Este incipiente ecosistema es tan novedoso que aún está en plena evolución y por ello algunos hackers mal intencionados encuentran huecos por donde atacar. DeFi ha sido víctima de multitud de robos debido a la vulnerabilidad de algunos protocolos, ahora le ha tocado el turno a Cream Finance alcanzando los 25 millones de dólares de fondos usurpados.
El 30 de agosto, el protocolo de Cream Finance era víctima de un exploit que culminó con el robo de las criptomonedas ETH y AMP por el valor de 25 millones de dólares, el protocolo DeFi admitió haber perdido 418,311,571 AMP y 1308.09 ETH en el ataque.
El hacker se aprovechó de un el hacker encontró un error en una smart contract de Cream Finance con relación a la stablecoin Ampleforth, una vez detectado creó un préstamo flash de 500 ETH para explotar mediante un “reentrancy bug” (error de reentrada), llegando a realizar la acción 17 veces.
El equipo de Cream Finance quiso esclarecer que “el exploit no fue el resultado de un error o problema con el código de AMP”, sino en “un error en la forma en que C.R.E.A.M. Finance integró AMP” en su protocolo, según la investigación post mortem realizado por el equipo en colaboración con el equipo Flexa.
El equipo anunció que pudo detener la retirada de mas fondos al parchear el error existente. En el comunicado se explica que se está investigando la identidad de los perpetradores y existe un plan en marcha para la restauración de los fondos robados.
Plan de restauración de los fondos robados de Cream Finance
Cream Finance ha mostrado la intención de devolver todos los fondos usurpados, el equipo planea reemplazar todos los ETH y AMP robados para evitar un problema de liquidez de su ecosistema.
Por ahora, el equipo pretende ir devolviendo los fondos mediante el dinero recolectado mediante sus tasas por utilizar su protocolo, aunque simultáneamente está intentando recuperar los fondos robados por los atacantes.
Nos comprometeremos a destinar el 20% de todas las tasas de protocolo al pago hasta que esta deuda esté totalmente saldada. Mientras tanto, colocaremos una garantía CREAM con el equipo de Flexa/AMP para asegurar esta deuda.
Cream Finance invitó a que sus usuarios afectados notificasen sus daños via un formulario.
Cream Finance ofrece una recompensa al hacker inicial mientras que el imitador es perseguido
La investigación inicial del ataque fue detallado por PeckShield, una empresa de seguridad y análisis de datos de blockchain, que concluyó que un hacker había conseguido recopilar 18,8 millones de dólares en un sólo ataque.
Fuente: Twitter – PeckShield
Poco después, se descubría otro monedero de otro hacker que copió la misma metodología robando así más fondos. El imitador no parece haber sido tan cuidadoso como el hacker inicial ya que el monedero empleado tiene un historial de retiros de Binance, por lo que se podría descubrir la identidad del atacante. Cream Finance lanzó una amenaza al segundo hacker:
Estamos trabajando con Binance para identificar al segundo autor. Enviaremos toda la información relevante a las autoridades policiales y procesaremos al máximo la ley.
El equipo de Cream Finance ha abierto un programa de recompensa como es de costumbre en estos casos. Para el hacker inicial ofrece quedarse el 10% de los fondos robados si devuelve los fondos robados como recompensa por haber descubierto el bug, a cambio no será perseguido.
Adicionalmente, si alguien es capaz de identificar y proporcionar información que conduzca a la detención y el enjuiciamiento del explotador, compartiremos el 50% de todos los fondos devueltos.
Puede que este caso se cierre con la devolución de los fondos robados, como ya se vio en el robo más grande de la historia de DeFi que alcanzó los 611 millones de dólares, habrá que esperar a ver si los hackers aceptan la oferta.
Uphold
eToro
eToro
eToro
eToro
Plus500
Coinbase
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
