Incidentes de piratería informática en 2021

[TL; DR]

Las finanzas descentralizadas (DeFi) han tomado una dramática tendencia al alza en los últimos años, haciendo que el joven sector sea muy atractivo para los inversores en blockchain. DeFi ha acumulado más de 100.000 millones hasta el tercer trimestre de 2021. Desde su inicio, este boom ha atraído ataques masivos de hackers que se aprovechan de las lagunas del proyecto.

Para ello, empresas como CipherTrace han lanzado herramientas y nuevas soluciones de cumplimiento que ayudarán a las bolsas descentralizadas (DEX) y a los proyectos DeFi a cumplir con las regulaciones de la Oficina de Control de Activos Extranjeros (OFAC). Este desarrollo es un gran paso para dar legitimidad al espacio DeFi, que evoluciona rápidamente. El cumplimiento de DeFi de CipherTrace hará que todos los datos relevantes estén disponibles de forma fácil y directa en la cadena para una integración fácil y rápida con los marcos DeFi existentes.

Esto ya está ayudando a los proyectos de DeFi a frenar en gran medida este acto malicioso. En general, los delitos relacionados con las criptomonedas están tomando una tendencia a la baja en los años anteriores: 4.500 millones de dólares en 2019, 1.900 millones en 2020, 681 millones en los primeros siete meses de 2021. Pero los crímenes de DeFi se han triplicado en efecto.

Este artículo examinará las causas, los 2021 hacks significativos de DeFi y las medidas de la industria para frenar la repetición. Siga leyendo.

Palabras clave: Finanzas descentralizadas (DeFi), ataques a DeFi, hackeo de blockchain, mayor hackeo de DeFi, hackeos de blockchain, hacker.

¿Por qué los proyectos DeFi?

Por lo tanto, surgen muchas preguntas sobre por qué muchos siguen interesados en este brazo de la cadena de bloques, a pesar de los ataques masivos. Tal vez le interese saber que, a diferencia de los sistemas financieros convencionales en los que las operaciones internas rigen el funcionamiento y controlan el sector, la DeFi no depende de tales autoridades.

Las finanzas descentralizadas, impulsadas por la tecnología blockchain, han revolucionado las finanzas, ya que son totalmente no custodiadas y descentralizadas. Los usuarios pueden tener el control total y realizar transacciones con sus activos digitales: no hay autoridad central. Esta descentralización es posible gracias a los contratos inteligentes en la red blockchain, que sólo permiten acciones en la red cuando se cumplen unas condiciones establecidas. Por lo tanto, tenemos servicios financieros entre pares que permiten préstamos descentralizados, intercambios descentralizados, derivados, sistemas de pago, agricultura de rendimiento, predicción de mercado que son más rápidos, más baratos, auditables y sin fisuras.

Por ejemplo, los proyectos DeFi de Ethereum han ganado una amplia adopción debido a la alta tasa de interés del año anterior, haciendo que muchos usuarios obtengan importantes beneficios. Los préstamos y los intereses obtenidos de los mismos generaron "ingresos pasivos" para los usuarios. El cultivo de rendimientos permite a los usuarios aprovechar sus criptoactivos para generar grandes rendimientos.

Hackeos a través de un diseño débil de los contratos inteligentes

A pesar de este descenso en los ataques generalizados a la industria del blockchain, el DeFi ha empeorado en un factor de 2,7 en comparación con el año pasado. Estas pérdidas se han producido por diversos medios, como hackeos, tirones de alfombra, fallos del sistema & y robos.

En la mayoría de los casos, el hackeo de DeFi se produce cuando los contratos inteligentes implementados en la blockchain son defectuosos, el mal uso de protocolos de terceros, la incompetencia de los desarrolladores y los errores de lógica comercial, lo que hace que el proyecto sea potencialmente susceptible de ser hackeado. Los errores de estos contratos suelen ser casi irrevocables, al igual que los fallos, lo que aumenta el riesgo. Desgraciadamente, estos defectos siguen siendo frecuentes entre los DeFi.

Los expertos afirman que los piratas informáticos aprovechan la debilidad de la criptografía o la codificación de estos proyectos DeFi para autorizar el movimiento de fondos.

P.D.: Con un total de 906 millones de dólares, Poly Network, Compound y Cream Finance se han convertido en los proyectos DeFi más afectados en 2021.

1. Los mayores hackeos de DeFi en 2021: El hackeo de Poly Network

El 10 de agosto, la pérdida de criptomonedas más importante de la historia, por valor de 612 millones de dólares, fue registrada por Poly Network, superando las pérdidas de MtGox y Coincheck. Normalmente, los hackers de DeFi tienen como objetivo instrumentos específicos de DeFi, pero en este caso, la infraestructura de Poly Network es el objetivo.

El objetivo del hacker era obtener el control total de los contratos inteligentes de la bolsa descentralizada (DEX), lo que le daba acceso a los tokens bloqueados dentro del contrato.

Se robó un total de 273 millones de dólares en tokens de la red Ethereum; 85 millones de dólares en USD Coin (USDC) de la red Polygon, y 253 dólares en Binance Smart Chain alguna cantidad considerable de renBTC, Bitcoin envuelto (wBTC), y Ether envuelto (wETH).

La red Poly funciona con un contrato inteligente que conecta blockchains independientes para facilitar la transferencia de tokens. Este hacker, al parecer conocido como White Hat, explotó el contrato inteligente CrossChainManager e intercambió la clave de almacenamiento del contrato en la red Poly. Esta manipulación le proporcionó un control total, permitiéndole desbloquear y mover las fichas a las direcciones de su elección.

Sorprendentemente, el hacker rechazó las ofertas hechas por la red Poly, pero el 11 de agosto, el atacante comenzó a devolver parte de los fondos robados a la red Poly.

En el intento del pirata informático, parece que reutilizó un monedero con intercambios prominentes que tenían alguna información sobre él a través de su protocolo de conocimiento del cliente.
Según CipherTrace, la mayor parte de los fondos robados han sido devueltos a las direcciones seleccionadas por Poly Network.
Estas direcciones son:

- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

2. El hackeo de Compound Finance

El 19 de abril de 2021, EasyFI perdió unos 75 millones de dólares de token EASY y 6 millones de dólares de liquidez de los usuarios. EasyFi es una horquilla de finanzas compuestas que opera en la red Polygon Layer 2. El hacker accedió a la clave de administración del proyecto, que permite a los desarrolladores actualizar su protocolo. Por ello, el equipo ha modificado el protocolo de la red blockchain para compensar sus pérdidas y evitar futuros ataques.

3. Ataque al préstamo flash de Yearn Finance

Yearn Finance (YFI) fue atacada por un hacker en febrero de 2021, escapando con 2,8 millones de dólares. Los piratas informáticos desviaron 11 millones de dólares de la cámara acorazada de la DIA a través de préstamos flash para realizar un préstamo con garantía. Este misterioso pirata informático aprovechó el fallo de diseño para iniciar un ataque de préstamo flash "" mediante la intervención de cinco protocolos DeFi diferentes: Compound Finance (COMP), Aave Protocol (AAVE), Curve Protocol (CRV), dYdX y Yearn. Finanzas (YFI).

4. Hackeo de la Red PAID 2021

El hacker manipuló la función de actualización del contrato inteligente utilizando una clave comprometida del desplegador de contratos de la Red PAID. Este acceso le permitió acuñar y deshacerse de más de 100 millones, lo que provocó un tirón inflacionario que hizo que el token perdiera cerca del 85%.de su valor de mercado.

5. Cream Finance 130 millones de dólares hackeados

Sólo en 2021, Cream Finance ha sufrido tres ataques diferentes que suman 186,6 millones de dólares. - en febrero, los hackers penetraron doblando el contrato inteligente del protocolo Alpha Homora. Se encontraron desaparecidos unos 37,5 millones de dólares en ETH y stablecoins.

- A finales de agosto, Cream Finance sufrió un ataque similar cuando los hackers robaron 18,8 millones de dólares en Ether (ETH) y tokens AMP.

-Las finanzas de la crema sufrieron un nuevo ataque el 27 de octubre de 2021. En esta ocasión, la pérdida se estimó en unos 130 millones de dólares. Lo que lo convierte en el tercer mayor ataque de 2021
El atacante explotó una vulnerabilidad en el contrato inteligente de préstamos flash (préstamos instantáneos) de Cream Finance en la red Ethereum.

6.BadgerDAO Robo de 120 millones de dólares en fichas.

En su protocolo, los titulares de Bitcoin pueden hacer un puente "" de su criptodivisa a la plataforma de Ethereum a través de su token, lo que les permite beneficiarse de las oportunidades de DeFi a las que no tendrían acceso.

Según una fuente de seguridad, pecksheild, que trabaja con Badger DAO para investigar los tokens robados, confirmó que un actor malicioso se embolsó unos 120 millones de tokens el 1 de diciembre de 2020. Afirmaron que el mal actor insertó _script_s en su sitio web para interrumpir las transacciones de Web3, solicitando una transferencia de los tokens de la víctima a la dirección elegida por el atacante. El equipo de Badger afirmó que notó algún rastro ya el 10 de noviembre, pero apenas era rastreable porque el hacker lo ejecutó con severidad en diferentes intervalos.

Aunque no hubo ningún fallo dentro de la tecnología Blockchain en sí, el hacker se aprovechó de los usuarios en el sitio web2.0 de Badger mientras realizaban sus transacciones. Esto llevó al tejedor a congelar su plataforma debido a las transferencias no autorizadas detectadas por su equipo. Puso en pausa todos los contratos inteligentes y pidió a los usuarios que rechazaran todas las transacciones a las direcciones del atacante.
Desde entonces, la empresa ha contratado a los expertos en análisis forense de datos Chainalysis para que investiguen a gran escala, al tiempo que cooperan plenamente con organismos externos para la investigación.


Conclusión

-Según coin Telegraph, entre 2021 cripto hacks, sólo el 37% fueron auditados.
-Alrededor de un 60 % menos de impacto de los ataques en comparación con los proyectos no auditados.
-Este resultado también afirma que hasta 1.300 millones de dólares eran de los no auditados.

Podemos deducir entonces que la auditoría es esencial para proporcionar un protocolo DeFi seguro para los adoptantes de la cadena de bloques. Recientemente, ha habido más demanda de auditorías de seguridad de contratos inteligentes y procedimientos de auditoría de terceros para garantizar la viabilidad de estos proyectos antes de que salgan a la luz. En conclusión, los inversores deben realizar una investigación exhaustiva antes de asignar fondos a proyectos DeFi. Sin embargo, estos hackeos y robos han enfatizado la cautela a la comunidad de blockchain, impulsando el avance y la credibilidad del sector.

Autor: Gate.io Observador: M. Olatunji
Descargo de responsabilidad:
* Este artículo representa únicamente las opiniones de los observadores y no constituye ninguna sugerencia de inversión.
*Gate.io se reserva todos los derechos de este artículo. Se permitirá volver a publicar el artículo siempre que se haga referencia a Gate.io. En todos los demás casos, se emprenderán acciones legales por infracción de los derechos de autor.