Robo, piratería y vulnerabilidades en criptomonedas en 2020

Inventario: Hacks criptográficos, exploits y robos en 2020

A diferencia de años anteriores, las principales noticias sobre criptomonedas en 2020 no fueron la piratería de los principales intercambios y el robo de millones de dólares en Bitcoin. Sin embargo, todavía se están produciendo bastantes hacks, la mayoría de los cuales se originan en el incipiente espacio de las finanzas descentralizadas (DeFi).

DeFi es uno de los principales impulsores del impulso del criptomercado en 2020, y hay una razón por la cual DeFi ha estado atrayendo a estafadores y piratas informáticos. Una gran cantidad de contratos inteligentes no auditados junto con código clonado permiten que los piratas informáticos exploten, a menudo conducen al robo de millones de dólares en activos digitales.

Un informe de noviembre de CipherTrace indicó que DeFi representó el 45% de todos los robos y ataques que ocurrieron en la primera mitad de 2020, lo que resultó en pérdidas de más de $50 millones. En la segunda mitad del año, eso aumentó al 50 por ciento, según el informe. En una entrevista con Cointelegraph, el CEO de CipherTrace, Dave Jevans, advirtió que DeFi podría sufrir una represión regulatoria: "Los hacks de DeFi ahora representan más de la mitad de todos los hacks de criptomonedas en 2020, una tendencia que está atrayendo la atención de los reguladores".

Agregó que los reguladores están más preocupados por la falta de cumplimiento contra el lavado de dinero: "Los $ 280 millones en fondos robados de KuCoin es el pirateo más grande de 2020, y los piratas informáticos usaron el protocolo DeFi para llevar a cabo este lavado de dinero". especificar qué acciones tomarán los protocolos DeFi para evitar las consecuencias de no cumplir con las normas contra el lavado de dinero, capturar la bandera (refiriéndose a ser atacado) y posibles sanciones.

Intercambios pirateados sufridos en 2020

Phantom: La vulnerabilidad puede deberse a la complejidad de importar y exportar cuentas en la interacción con Slope: el 4 de agosto, la billetera ecológica de Solana Phantom tuiteó: "La vulnerabilidad en el incidente del ataque de Solana tiene motivos para creer que se debe a la interacción con Slope. Debido a la complejidad de importar y exportar cuentas ", se recomienda que los usuarios de Phantom instalen una nueva billetera que no sea Slope y creen un nuevo mnemotécnico. [2022/8/4 2:58:05]

El hackeo de KuCoin ocurrió a finales de septiembre, cuando el CEO de la bolsa, Johnny Lyu, confirmó que el hackeo afectó a las billeteras calientes de Bitcoin, Ethereum y ERC-20 de la bolsa después de que se filtraron las claves privadas.

KuCoin dijo a principios de octubre que había identificado a un sospechoso e involucrado formalmente a las fuerzas del orden público en la investigación. A mediados de noviembre, el intercambio afirmó que había recuperado el 84 por ciento de la criptomoneda robada y restauró el servicio completo para la mayoría de los activos negociables.

Ha habido otros intercambios pirateados este año, pero el pirateo de KuCoin fue el más grande. En febrero, el intercambio italiano Altsbit perdió casi todos sus fondos en un hackeo de $70,000, junto con varios otros pequeños intercambios de criptomonedas. En octubre de 2020, hasta 75 intercambios de criptomonedas centralizados cerraron por varias razones, siendo la piratería una de ellas.

Hacks y vulnerabilidades de DeFi en 2020

Con miles de millones de dólares invertidos en protocolos DeFi y minería de liquidez, DeFi se ha convertido en un semillero para los piratas informáticos. El primer incidente importante de piratería ocurrió en la plataforma de préstamos DeFi bZx en 2020. En febrero, bZx sufrió dos ataques de préstamos rápidos y perdió casi $ 1 millón en fondos de usuarios. Un préstamo flash se refiere a pedir prestado y pagar garantías de criptomonedas en la misma transacción.

bZx cesó sus operaciones para evitar más pérdidas, pero esto ha provocado una ola de críticas por parte de los observadores de criptomonedas que dicen que, después de todo, bZx sigue siendo una plataforma centralizada y que podría ser "el fin de DeFi".

La aplicación Cash permite a los usuarios enviar bitcoins gratis dentro de la aplicación: Jinse Finance informó que la aplicación Cash de Square anunció hoy que sus usuarios ahora pueden enviar y recibir bitcoins a otros usuarios de forma gratuita dentro de la aplicación sin pagar tarifas de transacción. [2021/3/18 18:54:39]

El mercado colapsó en marzo, lo que resultó en liquidaciones masivas de garantías, especialmente el token MKR de Maker, pero no fueron hacks. El mes siguiente, los piratas informáticos atacaron imBTC, que está vinculado a bitcoin, utilizando un método de reentrada conocido como el estándar de token ERC-777. El pirata informático robó todos los activos del fondo de liquidez de Uniswap, estimado en $ 300,000 en ese momento.

En abril, los piratas informáticos explotaron la misma vulnerabilidad para robar toda la liquidez de la plataforma de préstamos dForce. Los piratas informáticos siguieron mejorando su capacidad para tomar prestados otros activos y se salieron con la suya con unos 25 millones de dólares en fondos.

En junio, un error en los contratos inteligentes de Bancor resultó en la pérdida de hasta $460 000 en tokens. El creador de mercado automatizado DeFi declaró que han implementado una nueva versión del contrato inteligente, que corrige la vulnerabilidad.

Balancer fue el siguiente protocolo DeFi en ser explotado, con piratas informáticos que robaron $ 500,000 en WETH de su grupo de liquidez mediante un ataque de arbitraje bien planificado. Los piratas informáticos realizaron una serie de préstamos rápidos e intercambios de fichas de arbitraje en un ataque a una vulnerabilidad que aparentemente conocía el equipo de Balancer.

No es tanto un truco como otro error, pero bZx volvió a estar en las noticias en julio con una venta de fichas cuestionable, esta vez manipulada por un bot que colocaba órdenes de compra en la misma generación de fichas en el bloque. Los piratas informáticos robaron casi medio millón de dólares en ganancias, que fueron provocadas por aumentos de precios simbólicos.

En agosto, el protocolo de opciones DeFi Opyn se convirtió en la siguiente víctima, los piratas informáticos utilizaron su contrato de opciones de venta ETH para robar más de $ 370,000 en fondos. La vulnerabilidad permitió que un atacante ejerciera dos veces la opción de venta de Ethereum oToken y robara el ETH prometido. Opyn recuperó aproximadamente 440 000 USDC de la bóveda a través de un hacker de sombrero blanco y se los devolvió al vendedor de la opción de venta.

Nuevamente, en lugar de un ataque directo, una falla en el código en el contrato inteligente no auditado de Yam Finance afectó el reinicio del token de gobierno YFI, lo que provocó que el precio de YFI cayera en picado a mediados de agosto. El protocolo Yam Finance se vio obligado a pedir el rescate de las ballenas DeFi votando para reiniciar la versión 2.

Cuando SushiSwap está de moda

A fines de agosto, comenzó la leyenda de SushiSwap, "vampire mining" y "rug pull" (en referencia a algunos proyectos que defraudan a los usuarios de promesas e inversiones empaquetándose ellos mismos, y luego se escapan inmediatamente con el dinero). El fundador anónimo de SushiSwap, "Chef Nomi", vendió $ 8 millones en tokens SUSHI, lo que provocó que el precio de SUSHI cayera en picado. Unos días después, el protocolo fue rescatado por el CEO de intercambio de FTX, Sam Bankman-Fried, a quien una coalición de ballenas DeFi le entregó el control a través de un contrato inteligente de múltiples firmas. En última instancia, todos los fondos se devolvieron al fondo de desarrollo del protocolo.

Durante el auge de las altcoin en 2017, Rug Pull continuó lanzando una serie de clones de DeFi como Pizza y Hotdog. Los precios de estos tokens aumentan y caen en picado en cuestión de horas, a veces minutos.

A mediados de octubre, los comerciantes acudieron en masa para enviar fondos a un contrato inteligente no auditado ni publicado de Andre Cronje, fundador del protocolo DeFi Yearn Finance. En las horas posteriores a que Cronje tuiteó un adelanto sobre un nuevo "multiverso de juegos", el contrato inteligente Eminence Finance fue pirateado, perdiendo $ 15 millones. El pirata informático devolvió aproximadamente $ 8 millones, pero se quedó con el resto, lo que llevó a los comerciantes descontentos a iniciar acciones legales contra el equipo de Yearn por los fondos perdidos.

A fines de octubre, un sofisticado ataque de arbitraje de préstamos instantáneos en el protocolo Harvest Finance resultó en la pérdida de aproximadamente $ 24 millones en monedas estables en siete minutos. El ataque ha provocado un debate sobre si estas vulnerabilidades del diseño del sistema podrían considerarse piratería.

Noviembre fue un mes particularmente doloroso para Akropolis, que tuvo que "suspender el protocolo" después de que los piratas informáticos robaran $ 2 millones de su moneda estable DAI. El protocolo Value DeFi perdió $ 6 millones en un ataque de préstamo flash común, el proyecto de moneda estable Origin Dollar perdió $ 7 millones y Pickle Finance perdió $ 20 millones en DAI en una violación compleja.

Un ataque personal a mediados de diciembre rompió el patrón de explotación de las vulnerabilidades del sistema de protocolo. El fundador del protocolo de seguros DeFi Nexus Mutual, Hugh Karp, perdió $ 8 millones de su billetera MetaMask después de que un pirata informático logró ingresar a su computadora y falsificar una transacción. Estos tipos de ataques son generalmente menos comunes porque implican cierto grado de ingeniería social.

El último ataque de préstamo relámpago reportado en lo que va del año fue el hackeo de Warp Finance el 18 de diciembre, que perdió $8 millones.

Muchos comerciantes minoristas e inversores también han sido víctimas de estafas de phishing, mientras que los propietarios de billeteras de hardware Ledger también fueron atacados después de que la información personal de unos 272,000 compradores de Ledger fuera pirateada en 2020.

Resistencia al desarrollo de DeFi

En 2020, la mayoría de los contratos inteligentes y las vulnerabilidades de los préstamos rápidos inhibirán el desarrollo de DeFi. Es posible que surjan nuevos protocolos DeFi más inteligentes el próximo año, pero como siempre, los estafadores, piratas informáticos y ciberdelincuentes mejorarán su juego.

Profundizar en el mundo DeFi actual requiere mucha vigilancia y atención, pero ha recorrido un largo camino en un período de tiempo tan corto, y el futuro panorama de las finanzas descentralizadas está en constante evolución.

Tags：

Ethereum