Cómo se explotó Deus Finance para $13.4M
La aplicación de finanzas descentralizadas (DeFi) Deus Finance fue explotada por segunda vez en un espacio de dos meses. Los atacantes pudieron obtener más de $13.4 millones en criptomonedas en las primeras horas de hoy en Asia, según investigadores de seguridad de PeckShield. El exploit ocurrió en Fantom Network. Después de numerosos informes de PeckShield, el equipo detrás de Fantom Network pudo identificar y mitigar la explotación. Sin embargo, ha habido preocupaciones sobre la usabilidad de los protocolos DeFi debido a su susceptibilidad a ataques como estos en los que se utiliza una gran cantidad de criptomonedas. perdió. El hecho de que este no sea un incidente aislado también debería ser motivo de preocupación.
Deus Finance es un protocolo DeFi construido en Fantom Network. Permite a los usuarios ganar intereses sobre sus tenencias de criptomonedas al apostarlas en el protocolo. Las tasas de interés son variables y dependen de la cantidad de moneda que se apuesta. Deus Finance permite a los desarrolladores crear servicios financieros como comercio de futuros, préstamos y opciones en su plataforma.
Los atacantes pudieron explotar una falla en el protocolo Deus Finance y acuñar nuevos tokens sin tener que apostar ninguno. El ataque usó un préstamo flash para engañar a la forma en que los contratos inteligentes de Deus leen los datos en los fondos de liquidez de la plataforma. Esto permitió al atacante inflar artificialmente el valor de algunos activos, pedir prestados fondos y obtener ganancias después de pagar el préstamo.
Se tomaron prestados unos $143 millones como préstamo flash, según parecen mostrar los datos de blockchain. El pirata informático pudo obtener una ganancia de $13.4 millones. PeckShield dijo que las pérdidas totales del protocolo podrían ser mucho mayores.
Usando el préstamo flash, los atacantes de Deus pudieron manipular temporalmente los precios en un grupo de liquidez que consiste en la moneda estable USD Coin (USDC) y DEI, y usar el precio DEI manipulado para pedir prestado y drenar el grupo. Luego, según los informes, el atacante pagó el préstamo utilizando USDC, antes de retirar tanto USDC como DEI.
Los préstamos flash permiten a los usuarios de DeFi obtener préstamos sin garantía. Esto no es criptomagia ni dinero gratis: el préstamo debe reembolsarse antes de que finalice la transacción o el contrato inteligente revierte la transacción, como si el préstamo nunca hubiera existido.
La noticia del hackeo conmocionó a la comunidad DeFi, y algunos usuarios señalaron con el dedo a la firma de auditoría Certik, que había auditado los contratos inteligentes de Deus. Sin embargo, en un comunicado publicado hoy, Certik dijo que había utilizado una herramienta de auditoría de software de terceros que no pudo detectar el problema.
Certik ha dicho que ahora realizará auditorías adicionales, mejorará su proceso actual y trabajará con otros auditores de contratos inteligentes para establecer las mejores prácticas para las pruebas automatizadas de seguridad de contratos. Al momento de escribir este artículo, no está claro quién está detrás de este ataque.
Esta no es la primera vez que se utiliza un préstamo flash para explotar un protocolo DeFi. En febrero, un atacante usó un préstamo flash para explotar Compound, otro protocolo DeFi donde los usuarios pueden ganar intereses sobre sus criptoactivos. Como resultado del exploit, se robaron $13,4 millones de Deus Finance. Aunque el ataque ocurrió en 2020, solo ahora el equipo detrás de Deus Finance ha revelado sus detalles mientras trabajaban para restaurar todos los fondos perdidos.
El equipo de Deus dice que ya solucionó el problema y está trabajando para recuperar los fondos. También detuvo todas las transacciones en la plataforma mientras realiza una auditoría completa.