Hacker roba USD 25 millones a Flashbots de Ethereum con “un método sofisticado”

Un ataque cibernético bastante innovador ha llevado a la pérdida de más de USD 25 millones por parte de Flashbots, desarrolladora de robots dedicados a la extracción de MEV (“máximo valor extraíble”) para generar ganancias en Ethereum.

El evento ocurrió este lunes 3 de abril y fue reportado por diversos desarrolladores destacados en Ethereum, como Mudit Gupta y Sam Sun. “Un usuario logró drenar cinco bots de MEV explotando una vulnerabilidad en el relay de mev-boost”, explicó Sun en Twitter.

Para ello, el hacker tuvo que volverse validador de la red previamente. Con ese fin, depositó los 32 ethers (ETH) necesarios el 15 de marzo. Cuando llegó su turno de proponer un bloque como validador, tuvo la oportunidad de reordenar transacciones de la forma que necesitaba para su ataque.

El grupo de desarrolladores Flashbots reaccionó al evento publicando un parche para prevenir este tipo de ataques. En líneas generales, el parche indica a los relayers, que son mediadores entre los bloques y los validadores, “publicar el bloque en la red Beacon antes de regresar al proposer (y si falla, no regresar el contenido al proposer en absoluto)”.

Además del lanzamiento de esta solución, Flashbots anunció que publicará un informe sobre lo sucedido en las próximas horas.

Los robots que desarrolla Flashbots operan como traders de alta frecuencia que utilizan sus recursos para capturar oportunidades de arbitraje en redes como Ethereum. Estos robots se denominan MEV-boost. En CriptoNoticias se ha hablado sobre ellos en el pasado, sobre todo por su obligación de censurar transacciones según las regulaciones de la Oficina de Control de Bienes Extranjeros (OFAC) de Estados Unidos.

El ataque sándwich, la clave del hackeo a Flashbots

Con soluciones como MEV-boost, Flashbots permite a los validadores de Ethereum capturar y monetizar las ganancias de las transacciones debido a la información privilegiada que poseen sobre el estado actual de la red.

Un “ataque de sándwich” es una técnica que aprovecha la volatilidad del precio de los activos para producir una ganancia financiera. El atacante compra o vende una gran cantidad de un activo para mover el precio a su favor, y luego realiza una transacción para explotar a otra persona que está operando con ese activo. Finalmente, el atacante completa el sándwich vendiendo o comprando de nuevo el activo a un precio favorable y obteniendo una ganancia neta.

Según detalló la cuenta de seguridad y análisis de blockchain PeckShield, los fondos robados se repartieron en ocho direcciones, con tres de ellas almacenando la mayoría de los fondos al momento de redacción de esta nota.

Un breve análisis del ataque

Mudit Gupta, reconocido desarrollador de Ethereum y Polygon, explicó: “En este caso, el validador está aprovechando el hecho de que el bot de MEV incurre en una pérdida en la primera transacción del sandwich”.

“La vulnerabilidad se debe a un fallo de diseño en Flashbots, que no penaliza económicamente al creador de la transacción maliciosa. Esto ha llevado a una situación en la que el incentivo económico está roto y solo funciona gracias a un acuerdo tácito de no hacer el mal”, profundizó. En ese sentido, detalló que el castigo por violar las reglas (una multa de 1 ETH o alrededor de $1,800 USD) es menor que el potencial beneficio que se puede obtener mediante la manipulación.

En general, Gupta dice que esta situación destaca las limitaciones y los riesgos de la MEV en Ethereum. A medida que la adopción de la MEV aumenta, es probable que se descubran más vulnerabilidades y se requiera una mayor atención y acción para prevenirlas, según el especialista.