Nuestro Broker
Puntos importantes:
- La plataforma DeFi year.finance (YFI) fue objetivo de un ciberataque realizado el pasado 4 de febrero.
- El informe confirma que fueron robados 11 millones de DAI durante el ataque.
- El pirata realizó una serie de transacciones durante 38 minutos, en las que logró desequilibrar el tipo de cambio de las monedas estables administradas en la bóveda.
Un miembro del equipo de Year Finance dió detalles sobre el ataque que sufrió la plataforma DeFi hace unos días, en una divulgación de vulnerabilidades publicada en GitHub.
De acuerdo con lo publicado, Andre Cronje, fundador de YFI, se dió cuenta de un complejo patrón de transacciones de un contrato que interactuaba con las bóvedas de la plataforma de Yearn, el pasado jueves 4 de febrero a las 21:45 UTC.
El equipo de seguridad de Yearn pudo determinar que se trataba de un ataque cibernético realizado mediante un exploit contra la bóveda yDAI v1, provocando la pérdida de 11 millones de DAI de depósitos, donde el hacker explotó una vulnerabilidad del protocolo.
El ataque pudo ser detenido por el trabajo realizado conjuntamente entre el equipo de seguridad de Yearn y los firmantes de billetera multi-sig a los 11 minutos de ser detectado, lo que evitó la pérdida de 24 millones de DAI de los 35 millones de depósitos de DAI que se encontraban en la bóveda, confirmando así la cantidad robada, según lo señalado por el dearrollador Lenh Berg.
El informe revela que el atacante pudo obtener ganancias a través de tres pasos que repetió en una serie de transacciones ejecutadas en 38 minutos, antes de ser mitigado el ataque. Primero, el pirata creó desequilibrios en el tipo de cambio de monedas estables en el grupo 3CRV de Curve, luego realizaba depósitos a la bóveda de yDAI en el grupo a un tipo de cambio desfavorabe y, por último, revertía el desequilibrio creado en el primer paso, de acuerdo con la fuente.
«Al crear desequilibrios en el tipo de cambio en 3pool de Curve, un explotador pudo hacer que la bóveda yDAI de Yearn depositara y retirara fondos de 3pool a tasas desfavorables en una serie de transacciones… El explotador se benefició de la pérdida al mantener una buena parte de la Curve 3pool durante el ataque y retirarse a una combinación de USDT, DAI y ETH».
Year Finance.
El ciberataque fue anunciado unas horas después en la cuenta oficial de Yearn Finance en Twitter, mientras que un desarrollador del equipo, identificado como banteg, compartió más información relacionada al hecho en la mima red social.
En el tweet publicado, banteg afirmó que perdieron 2,8 millones de dólares en el token DAI y que los depósitos en las bóvedas para los tokens DAI, TUSD, USDC y USDT se habían deshabilitado mientras avanzaban las investigaciones.
Cabe destacar que el protocolo Yearn Finance es uno de los proyectos más reconocidos que forman parte de las conocidas «Finanzas Descentralizadas» de Ethereum. Este suceso se suma a la lista de proyectos DeFi que han reportado pérdidas por ataques cibernéticos, como sucedió con el portal Harvest Finance, quienes perdieron 24 millones de dólares, y la plataforma DeFi Akropolis para préstamos en activos criptográficos de la que un hacker logró robar un poco más de dos millones de dólares en tokens DAI.
Imagen destacada por geralt / pixabay.com
