Cómo un atacante desvió más de 11 millones de dólares de los protocolos DeFi, Agave y Hundred Finance

El desarrollo de las finanzas descentralizadas (DeFi) en la red blockchain ayuda a garantizar transacciones seguras y más rápidas.

Aunque las plataformas DeFi tienen numerosas ventajas, son propensas a los ataques.

Cuando estos ataques se producen, conducen a la pérdida de cantidades masivas y a la interrupción de transacciones importantes.

Uno de los recientes ataques al protocolo DeFi provocó la pérdida de 11 millones de dólares.

El ataque se llevó a cabo en la blockchain de Agave y Hundred Finance.

Los hackers lanzaron una forma de ataque de reentrada.

El hacking de reentrada permite a un hacker engañar al contrato de un protocolo para que haga una llamada directa pero externa a un contrato no fiable.

Al ser protocolos de cadena de bloques descentralizados, tanto Agave como Hundred Finance no pudieron evitar tokens con devoluciones de llamada, lo que hizo que el ataque fuera un éxito.

Los protocolos Descentralizados siguen aprovechando la red blockchain para asegurar transacciones y verificaciones más rápidas.

Además, las plataformas de Finanzas Descentralizadas siguen siendo la mejor opción para la inversión, las transacciones internacionales y los medios de intercambio.

Los protocolos DeFi y todas las aplicaciones blockchain (en general) son propensos a los ataques.

Debido a la gran inversión y a las enormes transacciones en varios lugares, estas apps son propensas a los ataques y al acceso no autorizado.

A pesar de todos los esfuerzos de los desarrolladores de blockchain por actualizar constantemente la arquitectura de seguridad y garantizar una verificación exhaustiva de las transacciones, los hackers siguen haciendo de las suyas.

Un ataque reciente ocurrió cuando los hackers desviaron más de $11 millones de dólares de Agave y Hundred Finance.

En este artículo se darán detalles más precisos del ataque y de cómo afectó a la plataforma blockchain.

Antes de pasar a cómo se produjo el ataque, definamos Agave y Hundred Finance.

¿Qué es Agave?

Agave es una gran marca con varias filiales, y una de ellas es la plataforma blockchain y la criptodivisa.

El token de Agave en el mercado de criptomonedas es AgaveCoin (AGVE).

Agave es una blockchain que funciona con el protocolo de Organización Autónoma Descentralizada (DAO).

Esta plataforma blockchain recompensa a los depositantes con ingresos pasivos. Los depositantes pueden utilizar sus depósitos como garantía de deuda y prestar activos digitales.

La moneda es un token 100% utilitario que permitirá a los actores del sector y a los interesados participar e invertir.

AgaveCoin es un protocolo financiero descentralizado que permitirá el comercio, los pagos y las transacciones de productos agrícolas.

Como poseedor de un token AGVE, usted tiene el poder de voto para dirigir la estrategia y tomar decisiones.

Agave se construye sobre la cadena Gnosis, la cadena de capa 2 de Ethereum ("EVM side chain").

El AGVE es un token único porque permite la compra y transacción de servicios agrícolas en todas las cadenas de producción de la industria del Agave.

Agave es un protocolo de préstamo y dinero no custodiado que aprovecha la red blockchain.

¿Qué es Hundred Finance?

Hundred Finance es otra aplicación de Finanzas Descentralizadas (DeFi) en la blockchain.

Hundred Finance es una aplicación descentralizada (dApp) que permite prestar y tomar prestadas criptodivisas.

Esta app en blockchain tiene su token de criptodivisa para las transacciones y el intercambio, el token HND.

La tasa de interés de HND se calcula y se expresa por token como una tasa de rendimiento anual (APY).

Hundred Finance es un protocolo multicadena que se integra con los oráculos de Chain Link. La información garantiza la salud y la estabilidad del mercado con una especialización en el servicio de activos de cola larga.

Hundred Finance es el sucesor de Percent Finance.

Desde su lanzamiento en la tecnología blockchain, Hundred Finance ha colaborado con Chainlink Oracle, Beethoven, Immunefi, Spookywap y otros.

Habiéndonos familiarizado con AGVE y HND como aplicaciones de blockchain y tokens criptográficos, vamos a sumergirnos en el ataque que supuso la pérdida de $11 millones de dólares en ambas plataformas de blockchain.

El ataque de Agave y Hundred Finance

El espacio de la criptodivisa se convirtió en un frenesí cuando los administradores de Agave y Hundred Finance tuitearon que sus respectivas carteras habían sido explotadas.

Se informó de que el hacker se hizo con unos $11 millones de dólares en ETH (wETH), BTC (wBTC), chain link (LINK), USD Coin (USDC), Gnosis (GNO) y XDAI (wxDAI).

El hackeo fue un ataque de reentrada tanto en Agave como en Hundred Finance.

El ataque de reentrada es una debilidad del lenguaje de programación Solidity. Esta vulnerabilidad permite a un hacker engañar el contrato de un protocolo para hacer una llamada directa pero externa a un contrato no confiable.

La llamada (real) se hace una vez; después, el hacker utilizará el contrato sospechoso para hacer repetidas llamadas de un patrón similar y desviar los fondos del protocolo.

En el caso de un ataque a Agave y Hundred Finance, la investigación demostró que el hacker lanzó un fallo de reentrada en ambas aplicaciones de blockchain.

El fallo permitió inmediatamente un exploit de préstamo flash. Dado que el patrón es el mismo, el fallo permitió a los hackers seguir tomando préstamos de los protocolos.

Además, el hacker realizaba continuas peticiones de retirada de fondos sin poner garantías adicionales. La investigación demostró finalmente que la dirección del hacker había enviado más de 2.100 ETH por un total de unos 5,5 millones de dólares a un blanqueador de criptomonedas.

Los expertos creen que varias razones podrían haber causado el ataque. ¿Algunas de ellas son?

Las razones del éxito del ataque

Las razones del éxito del ataque eran relativamente simples y fáciles de detectar. Incluyen;

Los desarrolladores de Agave hicieron posible que los tokens con devoluciones de llamada se usaran para transacciones en su plataforma.

Las monedas puente oficiales en Gnosis no son estándar. Estos tokens tienen un gancho que notifica al receptor del token en cada transferencia, y los hackers siempre pueden recibir esta notificación y entrar inmediatamente en acción.

Conclusión

El ataque a Agave y Hundred Finance no es el primero ni será el último.

Poco antes del ataque de reentrada a Agave y Hundred finance, Cream Finance, una aplicación similar de DeFi, fue testigo de un ataque de reentrada a préstamos. El ataque a Cream Finance provocó el desvío de unos $19 millones de dólares.

El impacto del ataque es siempre enorme. Cuando Agave anunció el ataque, su cotización en el mercado cayó un 25%, mientras que Hundred Finance bajó un 5,8%.

Si bien los eventos son desafortunados, es conveniente que los desarrolladores actualicen su reentrada. Los desarrolladores deben cambiar el protocolo de gobierno para evitar tokens con devoluciones de llamada para transacciones.

Autor: Valentin A., investigador de Gate.io. Traductor: Jose E.

Este artículo representa únicamente las opiniones del investigador y no constituye ninguna sugerencia de inversión.

Gate.io se reserva todos los derechos de este artículo. Se permitirá la reproducción del artículo siempre que se haga referencia a Gate.io. En todos los casos, se emprenderán acciones legales por violación de los derechos de autor.