Otro ataque DeFi: robados USD 8 millones en stablecoins de Warp Finance

Un nuevo ataque a una plataforma de finanzas descentralizadas (DeFi) fue reportado la noche de este jueves. Un operador explotó una vulnerabilidad en el servicio para préstamos rápidos, Warp Finance, que comenzó a operar el pasado 9 de diciembre para depósitos y retiros.

El soporte para préstamos fue habilitado apenas este miércoles 16 de diciembre y 24 horas después el servicio ya era víctima de un ataque. La plataforma informó, a través de su cuenta en Twitter, que el operador malicioso pidió un préstamo rápido que superaba los fondos dispuestos en garantía, lo que derivó en una pérdida de capital en stablecoins.

Queda la duda de cómo un protocolo DeFi sobre la red Ethereum, aunque de reciente activación, no se percatara que una configuración básica de este tipo funcionara correctamente. El atacante no habría tenido dificultades para explotar la vulnerabilidad reportada.

“El explotador pudo sustraer 7,7 millones dólares en stablecoins. El equipo tiene un plan para recuperar aproximadamente 5,5 millones de dólares que aún están asegurados en la bóveda de garantía. Tras una recuperación exitosa, estos se distribuirán a los usuarios que experimentaron una pérdida”, publicó Warp Finance en la red social.

Oficialmente Warp Finance no ofreció detalles sobre cómo ocurrió la vulnerabilidad y se limitó a decir que publicará un análisis detallado en los próximos días. No queda claro cuáles son los próximos pasos a seguir de los usuarios o si el resto de los fondos ha sido rastreado.

Versiones que explicarían lo ocurrido con la DeFi Warp Finance

Horas antes de confirmar el ataque, el servicio recomendó a los operadores no realizar más depósitos en stablecoins hasta esclarecer “préstamos irregulares” que habían ocurrido. En Twitter se difundió una versión extraoficial de lo que habría ocurrido.

Nick Chong, de Hex Capital, indicó que las pérdidas se produjeron en DAI y USDC. En el caso de DAI habrían sido robados 3,85 millones de unidades y en el de USDC serían 3,92 millones.

De acuerdo con Chong, una cuenta fondeada con 1 ETH desde el servicio de mezclado Tornado Cash ejecutó un contrato que cambió instantáneamente 180 millones de Uniswap y realizó un préstamo rápido de 51 millones desde dYdX. El resultado, según Chong, es que las bóvedas de USDC y DAI de Warp quedaron vacías y 1 millón de dólares en ETH estaría en una cuenta de propiedad externa (EOA), la del atacante, con 1.462 ETH.

Otra opinión fue la de Emiliano Bonassi, cofundador de Marqet Exchange, quien explicó que el atacante utilizó a múltiples prestamistas, de diferentes pools de Uniswap, y solicitó un préstamo doble de diferentes activos en dYdX. Los fondos se habrían utilizado para generar tokens de pools de liquidez WETH/DAI para barrer con los fondos en las bóvedas antes descritas.

La vulnerabilidad explotada contra Warp Finance es el más reciente caso de ataques contra plataformas DeFi. En octubre un atacante sustrajo USD 24 millones del protocolo DeFi Harvest. En este caso el usuario utilizó lo servicios de los protocolos Uniswap, Curve Finance y Harvest para sacar los fondos, según informó CriptoNoticias.

Hace un mes otro atacante se apoderó 6 millones de dólares del servicio Value DeFi. El usuario aplicó un complejo esquema de operaciones que, al igual que en el caso de Warp Finance, alteró los precios para salir beneficiado de forma maliciosa.