Resumen de hacks, exploits y atracos de cripto en 2020
2020 ha sido el año de DeFi, pero no todo ha ido bien con el incipiente ecosistema financiero.
Especial año nuevo
A diferencia de años anteriores, las noticias sobre criptomonedas en 2020 no han estado dominadas por importantes hacks de intercambio y robos de Bitcoin de millones de dólares. Sin embargo, todavía ha habido bastantes y la mayoría de ellos se han originado en el incipiente sector financiero descentralizado.
DeFi ha sido uno de los principales impulsores del impulso del mercado de cifrado en 2020 y es lógico que el panorama financiero emergente haya sido un imán para estafadores y piratas informáticos. Los contratos inteligentes en gran parte no auditados, junto con el código clonado, han sido una receta para vulnerabilidades y exploits, que a menudo resultan en el robo de millones de dólares en activos digitales.
Un informe de CipherTrace de noviembre de 2020 declaró que durante la primera mitad del año, DeFi se hizo cargo del 45% de todos los robos y pirateos, lo que resultó en más de $ 50 millones perdidos. Esa cifra se elevó al 50% de todos los robos y pirateos en la segunda mitad, según el informe. En declaraciones a Cointelegraph, el director ejecutivo de CipherTrace, Dave Jevans, advirtió sobre una posible represión regulatoria: «Los hacks de DeFi ahora representan más de la mitad de todos los hacks de criptomonedas en 2020, una tendencia que está atrayendo la atención de los reguladores».
Añadió que lo que más preocupa a los reguladores es la falta de cumplimiento de las normas contra el blanqueo de capitales: «Los fondos robados en el hackeo más grande de 2020, el hack de KuCoin de 280 millones de dólares, se lavaron utilizando protocolos DeFi». Jevans también cree que es probable que 2021 traiga claridad por parte de los reguladores en términos de qué acciones se espera que tomen los protocolos DeFi para evitar las consecuencias de un incumplimiento de AML, Capture the Flag y posibles sanciones.
Hacks de intercambio en 2020
El hackeo de KuCoin ocurrió a fines de septiembre cuando el CEO de la bolsa, Johnny Lyu, confirmó que la incursión afectó a las billeteras activas Bitcoin, Ethereum y ERC-20 de la empresa, luego de que se filtraran las claves privadas.
A principios de octubre, KuCoin dijo que había identificado sospechosos y que había involucrado oficialmente a las fuerzas del orden en la investigación. A mediados de noviembre, el intercambio con sede en Singapur declaró que había recuperado el 84% de las criptomonedas robadas y reanudó los servicios completos para la mayoría de sus activos negociables.
Hubo otros trucos de intercambio este año, pero KuCoin fue el más grande. En febrero, el intercambio italiano Altsbit perdió casi todos sus fondos en un truco de $ 70,000, y ha habido un par de otras brechas menores en el intercambio de cifrado. En octubre de 2020, se habían cerrado hasta 75 intercambios de cifrado centralizados debido a varias razones, siendo la piratería onem.
Hacks y exploits de DeFi 2020
Con miles de millones de dólares vertidos en protocolos DeFi y granjas de rendimiento, el panorama emergente se convirtió en un semillero de piratas informáticos. La primera gran incursión de 2020 ocurrió en la plataforma de préstamos DeFi bZx en febrero, cuando dos exploits de préstamos flash provocaron la pérdida de casi $ 1 millón en fondos de usuarios. Un préstamo flash es cuando se toma prestada una garantía de cifrado y se paga dentro de la misma transacción.
bZx congeló las operaciones para evitar más pérdidas, pero esto generó una ola de críticas por parte de los observadores de la industria que afirmaron que, en última instancia, era una plataforma centralizada después de todo y que podría ser la «muerte de DeFi».
Los mercados colapsaron en marzo, lo que resultó en una gran cantidad de liquidaciones de garantías, especialmente para el token MKR de Maker, pero estos no fueron hacks. El siguiente de ellos se produjo el mes siguiente cuando una versión envuelta de Bitcoin llamada imBTC fue atacada utilizando algo llamado método de reentrada estándar de token ERC-777. El atacante pudo desviar un grupo de liquidez de Uniswap por todo su valor, estimado en $ 300,000 en ese momento.
Abril también vio a la plataforma de préstamos china dForce drenada de toda su liquidez utilizando el mismo exploit. El pirata informático aumentó repetidamente su capacidad para tomar prestados otros activos y se llevó alrededor de $ 25 millones en fondos.
En junio, se descubrió un exploit en los contratos inteligentes de Bancor que resultó en la drenando de hasta $ 460,000 en tokens. El creador de mercado automatizado de DeFi declaró que habían implementado una nueva versión del contrato inteligente que había solucionado la vulnerabilidad.
Balancer fue el siguiente protocolo DeFi en ser explotado por una suma de $ 500,000 en Ether envuelto robado de sus grupos de liquidez mediante un ataque de arbitraje bien planificado. Se llevaron a cabo una serie de préstamos flash e intercambios de tokens arbitrados en un ataque a una vulnerabilidad que el equipo de Balancer aparentemente ya conocía.
No es tanto un hack como otro exploit, pero bZx volvió a aparecer en las noticias en julio con una venta de tokens dudosa que fue manipulada por bots que colocaron órdenes de compra en el mismo bloque que marcó el inicio del evento de generación de tokens. Los atacantes capturaron casi medio millón de dólares en ganancias de bomba de precios.
El protocolo de opciones DeFi Opyn fue la siguiente víctima en agosto cuando los piratas informáticos explotaron sus contratos ETH Put con más de $ 370,000. El exploit permitió a los atacantes «ejercitar dos veces» Ethereum Put oTokens y robar la garantía. Opyn recuperó alrededor de 440,000 en USDC de bóvedas sobresalientes utilizando un truco de sombrero blanco, devolviéndolos efectivamente a los vendedores de Put.
Una vez más, no un pirateo directo sino una falla de código en un contrato inteligente de Yam Finance no auditado afectó el rebase del token de gobernanza, lo que resultó en un colapso de precios a mediados de agosto. El protocolo se vio obligado a apelar a las ballenas DeFi para salvarlo votando por un reinicio como versión 2.
Cuando el sushi se desenrolla
La saga SushiSwap comenzó a finales de agosto y se acuñaron los términos “minería de vampiros” y “tirón de alfombras”. El clonador y administrador de protocolos anónimo conocido como «Chef Nomi» vendió tokens SUSHI por valor de $ 8 millones, lo que provocó que el precio del token colapsara. Unos días después, el protocolo fue rescatado por el CEO de FTX exchange, Sam Bankman-Fried, a quien un consorcio de ballenas DeFi le entregó el control a través de un contrato inteligente de múltiples firmas. Finalmente, todos los fondos se devolvieron al fondo del desarrollador.
La alfombra tira, o «bombea y descarga», como se denominó durante el anterior boom de altcoin en 2017, continuó con una serie de clones de DeFi como Pizza y Hotdog. Los precios de los tokens para estas granjas de alimentos aumentaron y colapsaron en horas y, a veces, incluso en minutos.
A mediados de octubre, hordas de «agricultores degenerados», o degens, como se les llamaba, acumularon dinero en un contrato inteligente no auditado y no publicado del fundador del protocolo DeFi, Yearn Finance, Andre Cronje. El contrato de Eminence Finance perdió $ 15 millones cuando fue pirateado pocas horas después de que Cronje publicara teasers sobre el nuevo “multiverso de juegos” en Twitter. El pirata informático devolvió alrededor de $ 8 millones pero se quedó con el resto, lo que llevó a los comerciantes descontentos a iniciar acciones legales contra el equipo de Yearn por la pérdida de fondos.
A fines de octubre, un sofisticado ataque de arbitraje de préstamos relámpago al protocolo Harvest Finance resultó en la pérdida de $ 24 millones en monedas estables en alrededor de siete minutos. El ataque provocó un debate sobre si estas explotaciones del diseño del sistema pueden considerarse hackeos.
Noviembre fue un mes particularmente doloroso para Akropolis, que tuvo que «pausar el protocolo» ya que los piratas informáticos se llevaron $ 2 millones en la moneda estable de DAI. El protocolo Value DeFi perdió $ 6 millones en un exploit de préstamos flash demasiado común, el proyecto de moneda estable generadora de rendimiento Origin Dollar fue explotado por $ 7 millones, y Pickle Finance sufrió una pérdida colateral de $ 20 millones en un sofisticado exploit «‘evil jar».
Uno que rompió el molde de la explotación del sistema fue un ataque personal a un individuo a mediados de diciembre. El fundador del protocolo Nexus Mutual DeFi, Hugh Karp, perdió $ 8 millones de su billetera MetaMask cuando un hacker logró infiltrarse en su computadora, falsificando una transacción. Estos tipos de ataques son generalmente menos comunes ya que involucran algún grado de ingeniería social.
El último ataque de préstamos relámpago reportado del año, hasta ahora, fue una incursión de $ 8 millones en Warp Finance el 18 de diciembre.
Muchos comerciantes e inversores minoristas también han cometido intentos de phishing y los propietarios de carteras de hardware de Ledger también han sido atacados en 2020 después de que la información personal de unos 272.000 compradores de Ledger fuera pirateada.
DeFi de endurecimiento de batalla
La mayoría de las explotaciones de contratos inteligentes y préstamos flash en 2020 servirán para fortalecer el ecosistema financiero emergente a medida que se desarrolla. Es probable que surjan protocolos DeFi nuevos e inteligentes el próximo año, pero, como siempre, los estafadores, piratas informáticos y ciberdelincuentes también mejorarán su juego en un intento por mantenerse a la vanguardia.
Se necesita una gran dosis de vigilancia y atención para profundizar en el mundo actual de DeFi, pero ha recorrido un largo camino en tan poco tiempo, y el panorama financiero descentralizado del futuro está en constante evolución.
Post Original de: CoinTelegraph
