- Plataforma de préstamo Fulcrum basada en Ethereum perdió 350K USD en ETH debido a una debilidad en su protocolo que fue explotada.
- La plataforma ha sido cerrada por «mantenimiento» y se está haciendo una investigación para determinar detalles.
La plataforma de préstamo Fulcrum basada en Ethereum fue víctima de un ataque malicioso. El ataque ocurrió entre el 14 y 15 de febrero cuando los atacantes o atacante se aprovechó de una vulnerabilidad en el protocolo de préstamo de la plataforma.
El ataque ocurrió en varias etapas. Primero, el atacante tomó un préstamo rápido (flash) de 10,000 ETH. Luego, usó la mitad de los ETH para obtener otro préstamo en wrapped Bitcoin (wBTC) a través del protocolo Compound. La otra mitad de los ETH fue a Fulcrum como colateral en una apuesta por los wBTC. El atacante apostó a que el precio de los wBTC caería. El atacante luego vertió los wBTC en Uniswap y causó que el precio cayera para cobrar las ganancias del short en Fulcrum y pagar el préstamo flash inicial.
La plataforma Fulcrum fue suspendida mientras se hacen investigaciones. Fulcrum es una dapp centrada en UX para préstamos y comercio lanzada en junio del 2019. La dapp usa el protocolo descentralizado bZx que permite a sus dapps nativas comerciar y hacer préstamos con margen y apalancamiento.
bZx ofrece detalles post-mortem
El ataque a Fulcrum se complicó por varias razones. La compañía detrás de la plataforma, bZx, se encontraba en un hackathon de la comunidad de Ethereum. Por lo tanto, la capacidad de respuesta de bZx pudo haber sido retrasada.
El co-fundador de bZx Kyle Kistner ofreció declaraciones el 15 de febrero. Kistner afirmó que hubo una vulnerabilidad en contra del contrato y una porción de ETH se perdió en el proceso. El contrato de préstamo fue pausado para todas las operaciones. Kitstner aseguró que no se comprometieron más fondos, pero no ofreció una cifra especifica sobre la cantidad que se perdió. Se estima que el atacante pudo haber obtenido una ganancia de 350K USD en ETH.
La compañía bZx afirmó el 15 de febrero que debido a la complejidad de la transacción se necesita tiempo para comprender exactamente cuáles fueron las pérdidas. Además, afirmó que el atacante no se trató solo de un cambio en Uniswap y que bZx no usa a Uniswap como un oráculo. bZx afirmó (traducido libremente):
Hemos desplegado una actualización del contrato que creemos que hará nuestro sistema más robusto contra este tipo de acciones en el futuro. La actualización se está procesando actualmente a través de nuestro bloqueo temporal. Pasará en las próximas 12 horas. En ese momento esperamos reiniciar la interfaz de usuario.
La compañía reiteró que los usuarios tienen cero pérdidas. bZx también reveló que el atacante dejó 600K de wBTC como colateral (traducido libremente):
Utilizaremos esto para hacer fluir el interés y la salida de liquidez a los actuales poseedores de iETH. Esto se hará usando nuestra clave de administración. Esta es una decisión extremadamente difícil para nosotros que no tomamos a la ligera.
Afirmaron que Fulcrum volverá a estar en línea a las 10:30pm MTS. Luego publicaran un informe más detallado sobre el ataque y su complejidad. Sin embargo, la compañía fue objeto de críticas por parte de los usuarios de Fulcrum. Algunos demandan más transparencia sobre los hechos y otros critican que se use la clave de administración. Este mecanismo le dará a bZx control total sobre el contrato en Fulcrum.
Queda esperar el informe completo para ofrecer mayores detalles. En la comunidad de criptomonedas, el ataca ha sido usado para ejemplificar las vulnerabilidades del sector DeFi. La fundadora de MyCrypto, Taylor Monahan afirmó (traducido libremente):
Sólo porque tu código funcione no significa que sea seguro.
¡Síguenos en Facebook y Twitter y no te pierdas ninguna noticia! ¿le gusta nuestro índice de precios?
