Robados más de 8 millones de dólares en tercer hackeo a la plataforma DeFi bZx

8 millones de dólares del protocolo de préstamos DeFi, bZx, fueron robados el fin de semana. Los atacantes explotaron una vulnerabilidad en los contratos inteligentes de la plataforma, acción que les permitió duplicar las fichas iTokens y retirar unos 4.700 ETH.

Se trata del tercer hackeo que sufre este protocolo de préstamos descentralizados en el 2020, remontando pérdidas anuales a más de 9 millones de dólares. Este último ataque ha sido el más significativo, ya que según reportes se afirma que los 8 millones de dólares equivalen al 30% de los fondos que se encuentran bloqueados en los contratos inteligentes de bZx.

Recién ocurrido el robo, el equipo de bZx comunicó por sus redes sociales que los fondos de los usuarios no se encuentran en riesgo porque los atacantes no robaron directamente de los monederos de los usuarios, sino que generaron dinero artificial. Asimismo, en una nota de prensa añadieron que toda la deuda del hackeo será absorbida por el sistema, gracias a un Fondo de Seguro respaldado en el flujo de efectivo de la plataforma. En este sentido, los 8 millones de dólares robado han sido cubiertos por la empresa que ahora posee “una deuda transitoria” con el fondo.

La directiva del protocolo ha logrado rastrear la dirección de los hackers, cuyos movimientos se encuentran registrados en la blockchain de Ethereum. Los atacantes lograron primero sustraer su botín en tres transacciones distintas y siguen movilizando el dinero por la red. No se ha reportado que hará la empresa con esta información, o si se comunicarán con las autoridades por este robo.

Las auditorías no salvan a la DeFi bZx de las vulnerabilidades

Aunque las dudas sobre el posible impacto financiero de este ataque han sido resueltas, miembros de la comunidad de criptomonedas se cuestionan sobre la seguridad de plataformas como bZx y otras aplicaciones DeFi.

La empresa ha asegurado que sus contratos fueron auditados en varias ocasiones y se mantienen abiertos a mejorar su seguridad. No obstante, el protocolo ya carga a cuestas otros dos hackeos en menos de un año. El ataque de principios del 2020 ocasionó pérdidas de más de 900.000 dólares americanos, luego de que un grupo de usuarios maliciosos lograra colapsar las operaciones de la plataforma. Para aquel entonces los desarrolladores habían sido notificados sobre este error, pero no se atendió en su momento.

La historia se repite en la actualidad, puesto que la brecha de seguridad aprovechada esta vez por los hackers había sido detectada por el ingeniero de Bitcoin.com, Marc Thalen, horas antes de que fuese utilizada. Sin embargo, los desarrolladores de esta plataforma no se encontraban despiertos para el momento y no pudieron solucionar el problema antes de que el mismo fuese utilizado en su contra.

Los atacantes habrían sacado provecho de una vulnerabilidad en la función _internalTransferFrom() de los contratos inteligentes del protocolo. Se trataría de una opción que poseen todos los tokens ERC-20 de Ethereum, y que es responsable para transferir dichos activos. Sin embargo, en el caso particular de bZx poseía un error que permitía que un usuario aumentara su saldo de forma artificial, por lo que fue explotada para duplicar sus tokens.

La directiva de bZx apuntó que han incorporado un nuevo requerimiento para poder transferir los tokens, el cual ha sido auditado por dos firmas de seguridad: Peckshield y Certik. Ahora, para transferir tokens, los usuarios deberán esperar a que se fije la reducción del saldo minutos después que haya sido aprobada una operación. De esta manera, se evitará que una entidad maliciosa pueda aumentar sus fondos artificialmente.

El comunicado de la plataforma de préstamos señala además que se trata de uno de los protocolos “más complejos”, por lo cual temen que por más auditorias que hagan expertos de seguridad a su código, siempre pueden existir errores no identificados.

Los usuarios del ecosistema de finanzas descentralizadas (DeFi) deben tener en cuenta que muchos de estos proyectos pueden tener vulnerabilidades o errores de tipeo en sus contratos inteligentes, brechas de seguridad que los exponen a la pérdida de fondos monetarias. Las auditorias públicas y los programas de recompensas son necesarios para la detección de estos problemas, mas es cierto que las aplicaciones DeFi son en su mayoría experimentales y pueden tener bugs ocultos.