El protocolo de préstamos DeFi, Hundred Finance, perdió aproximadamente 6,5 millones de dólares en un “ataque de reingreso” (reentrancy attack, en inglés) que tuvo lugar el 16 de marzo. El atacante realizó un exploit el contrato de préstamo y usó Tornado Cash para ocultar sus huellas.
El miércoles 16 de marzo, Hundred Finance perdió más de 2,363 ETH, por un valor aproximado de 6,5 millones de dólares, ocasionado por un ataque de reingreso.
La empresa de seguridad Blockchain SlowMist tuiteó sobre el ataque, desglosándolo y mostrando el flujo de los fondos.
El hacker usó el servicio de mezcla Tornado Cash para enmascarar el rastro de los fondos, que es popular entre los malhechores que realizan ataques similares.
La dirección del pirata informático unió los fondos a la cadena Gnosis para crear contratos maliciosos, que tomaron prestados millones en flash loans de SushiSwap como colateral de Hundred Finance.
Después hicieron uso de un exploit en el contrato de préstamo, pidiendo prestado más de lo que proporcionaron en garantía, haciéndolo hasta que se generaron millones. Estos fondos se convirtieron a ETH y se enviaron de regreso a la red Ethereum.
SlowMist dijo que los equipos deben tener cuidado con el uso de contratos de token que no sean ERC-20 y verificar si son compatibles. También recomendó que:
“Los montos de los contratos deben registrarse antes de las transferencias de tokens, y deben seguirse las reglas de Comprobaciones-Efectos-Interacciones para evitar problemas como este en el futuro”.
El año 2022 ya ha visto numerosos ataques en el mercado DeFi, y es evidente por qué, ya que los piratas informáticos ven que hay mucho que ganar con los numerosos proyectos que crecen en TVL todos los días.
No cesan los ataques contra DeFi
Este es otro ataque de reingreso a un proyecto DeFi, un ecosistema que no es ajeno los exploits. Durante mucho tiempo, los piratas informáticos se han centrado en las vulnerabilidades de los smart contracts para desviar fondos, y esto se ha convertido en un problema enorme para los equipos.
El año pasado, Grim Finance perdió 30 millones de dólares en un ataque similar, y Cream Finance, que también sufrió múltiples ataques en 2021. La empresa de seguridad CertiK, que audita smart contracts, dijo que 44 ataques en DeFi en 2021 se debieron a la centralización.
Las soluciones que se han propuesto para ayudar a lidiar con el problema incluyen el seguro cripto. Sin embargo, esto aún no se ha afianzado por completo y los inversores continúan perdiendo fondos.
Quizás el paso más importante que pueden tomar los proyectos es asegurar su contrato inteligente. Esto se ha convertido en una decisión importante a la hora de invertir en estos días.
Trusted
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
