- En los últimos tres días, dos nuevas plataformas DeFi en la Binance Smart Chain han sufrido ataques de hackers, perdiendo 6,3 y 7,2 millones de dólares respectivamente.
- BSC ha afirmado que estos ataques son selectivos y ha pedido a todos los desarrolladores de su blockchain que apliquen todas las medidas de seguridad posibles, incluida la triple comprobación de su código.
Otro día, otro ataque a la Binance Smart Chain. La red blockchain apenas ha visto una semana sin un ataque de préstamo flash en los últimos dos meses. El último es a Belt Finance, una plataforma DeFi que según los expertos perdió dinero por el mismo exploit de préstamos relámpago (flash loan) que han sufrido sus predecesores. Hace apenas dos días, BurgerSwap perdió más de 7 millones de dólares por un exploit similar en lo que se está convirtiendo en una tendencia profundamente preocupante.
El ataque de Belt Finance
El incidente de Belt Finance fue un ataque de manual, con algunos retoques menores, según Rekt Blog, un sitio que detalla los hacks de DeFi. El atacante manipuló una valoración incorrecta de las acciones que le ayudó a añadir otra muesca a la «ya infame temporada de exploits de préstamos relámpago en el BSC».
Rekt Añadido:
Otra bifurcación de una bifurcación ha salido de la cinta transportadora con 6,3 millones de dólares que han caído directamente en manos del hacker. A pesar de que se trata de un ataque ligeramente más sofisticado que algunos de los anteriores, todas las características familiares están presentes.
El ataque, como muchos otros, comenzó con la adquisición de BUSD, la stablecoin de Binance, de otra plataforma DeFi, esta vez PancakeSwap. Según los analistas de seguridad, los atacantes tomaron 8 préstamos flash de PancakeSwap por un total de 385 millones de dólares. A continuación, manipularon la estrategia «Elipsis» de la bóveda de BeltBUSD, ya que era la más suscrita. Después, filtraron los fondos a través de la estrategia Venus.
Elipsis es un exchange descentralizado que permite a los usuarios intercambiar stablecoins en BSC con bajo deslizamiento, mientras que Venus es la principal plataforma DeFi en BSC.
Mudit Gupta, desarrollador principal de SushSwap, analizó en profundidad el ataque. Según él, la cantidad perdida por los piratas informáticos fue mucho mayor que la revelada inicialmente. Cifró los fondos robados en 13 millones de dólares.
Lo explicó:
La forma en que funciona la bóveda multiestrategia de beltBUSD es que tiene un saldo objetivo para todas las estrategias. Cuando alguien deposita dinero, lo deposita en la estrategia más suscrita. Cuando alguien retira dinero, lo retira de la estrategia más suscrita.
At the start of the exploit, Venus was most undersubscribed and hence the deposits went towards it. After the large deposit from the attacker, Venus became the most oversubscribed strategy and hence, the withdrawals came from it as well.
— Mudit Gupta (@Mudit__Gupta) May 30, 2021
El ataque de BurgerSwap
Hace tan solo unos días, otra plataforma de BSC fue atacada, perdiendo más de 7 millones de dólares. El atacante se llevó 3,2 millones de dólares en tokens BURGER, 1,6 millones de dólares en tokens Wrapped BNB y 1,4 millones de dólares en Tether de BurgerSwap.
El ataque a BurgerSwap tuvo lugar el 28 de mayo, según reveló la plataforma en Twitter. Se robaron unos 7,2 millones de dólares en el ataque en el que los atacantes crearon su propia moneda falsa y formaron un nuevo par comercial con el token BURGER.
1/9
BurgerSwap Flash Loan Attack Details:
At around 3 am on May 28th (UTC+8) #BurgerSwap on the BSC chain encountered a flash loan attack; $7.2M was stolen from #BurgerSwap in 14 transactions;
— BurgerCities (@burger_cities) May 28, 2021
BurgerSwap se ha hecho bastante popular en BSC, ya que se lanzó el año pasado. Es un clon de Uniswap v2, lo que significa que su código es casi idéntico al de la v2. Sin embargo, como reveló el fundador de Uniswap, Hayden Adams, los desarrolladores de BurgerSwap emitieron por casualidad una línea de código crucial que es responsable de asegurar los fondos de liquidez.
This thread sounds complicated. Here's what happened very simply.
Uniswap v2 fork removed the only line that enforces x*y=k from core:
So core could very trivially be drained.
This is the line that was removed:https://t.co/iN3nc1xMTm
iWoNDerWhYTHeyDiDtHAt https://t.co/B9TN3KP25U
— hayden.eth 🦄 (@haydenzadams) May 28, 2021
El token BurgerSwap cotiza actualmente a 6,57 dólares, por debajo del máximo histórico de 25,18 dólares que alcanzó el 3 de mayo. Su volumen ha perdido cerca del 30% desde el ataque.
Estamos en el punto de mira: BSC
En medio del aumento de los ataques a las plataformas DeFi en Binance Smart Chain, el proyecto de blockchain afirma que los ataques se dirigen a proyectos de su ecosistema. BSC acudió a Twitter para reconocer el desafortunado aumento de los ataques a los préstamos relámpago en su blockchain. Afirmó que «hackers bien organizados están apuntando a BSC ahora. Es un momento muy desafiante para la comunidad de BSC».
There are >8 #flashloan hacks recently, we believe, an well organized hackers are targeting #BSC now. It is very challenging time for the BSC communty. We are calling for the actions for all the #dapps:
— BNB Chain (@BNBCHAIN) May 30, 2021
El BSC pidió a los creadores de dApps que se adhirieran a una serie de medidas para reforzar su seguridad. Una de ellas es trabajar con auditores internos para comprobar el código. Los desarrolladores también deben supervisar sus plataformas en tiempo real y ponerlas en pausa cuando detecten cualquier anomalía.
Las dApps de BSC también deben planificar un plan de contingencia por si ocurre lo peor. Para asegurarse aún más de que se detecta cualquier brecha antes de que los atacantes la exploten, deben planificar un programa de recompensas.
La advertencia a los desarrolladores llega días después de que un representante de Binance declarara que la bolsa no puede hacer mucho para recuperar las criptomonedas que los atacantes roban. Samy Karim hablaba en la Conferencia de Consenso recientemente, declarando:
El BSC es una infraestructura pública sin permisos, por lo que cualquiera puede desplegar proyectos allí…. No es posible, como mucha gente piensa, que haya algún tipo de retroceso,
