Un ataque reciente en el campo de DeFi ha mostrado las debilidades en el sistema de almacenamiento de criptomonedas, específicamente en el vault ERC-4626. Los hackers aprovecharon una herramienta familiar llamada flash loan (préstamo rápido, que se toma y se devuelve en un instante) para distorsionar el tipo de cambio y engañar al sistema de precios, también conocido como oracle.
El 27 de febrero, un hacker llevó a cabo lo que se llama un "ataque de donación" al pedir prestados alrededor de 4 millones de dólares de Aave, una plataforma de préstamos de criptomonedas. El objetivo era el token wUSDM, que pertenece al sistema de bóveda ERC-4626 del Mountain Protocol. Este es un tipo de criptomoneda rentable, vinculada a la stablecoin USDM, una criptomoneda que tiene un valor estable gracias a estar respaldada por bonos a corto plazo de EE. UU. El hacker intentó deliberadamente elevar el tipo de cambio de wUSDM de 1,06 a 1,7, haciendo que pareciera tener un valor más alto de lo que realmente tiene.
A continuación, el hacker utilizó dos cuentas para "liquidar" - es decir, fingir vender activos propios - en Venus Protocol, otra plataforma de préstamos. Aunque Venus rápidamente bloqueó las transacciones para detenerlo, el hacker aún se embolsó alrededor de 200.000 USD en ganancias. Mientras tanto, Venus sufrió pérdidas de más de 716.000 USD, según un informe de análisis de Chaos Labs, una empresa especializada en gestión de riesgos.
Yoni Keselbrener, jefe del departamento DeFi en Lightblocks Labs, compartió con The Block: “Ambos equipos respondieron a tiempo al bloquear el mercado, ajustando las reglas de riesgo y llevando la tasa a niveles normales.” Keselbrener es un colaborador de eOracle, un sistema que proporciona datos en tiempo real para aplicaciones descentralizadas en Ethereum.
Vault ERC-4626, lanzado en mayo de 2022, es el estándar para crear reservas de criptomonedas. Sin embargo, un informe de Chaos Labs indica que este estándar "no tiene medidas de protección cuando la tasa de cambio varía anormalmente en las plataformas de préstamo."
En enero de 2024, Euler Finance publicó un estudio advirtiendo que la mayoría de los vaults ERC-4626 no tienen mecanismos de seguridad para prevenir la manipulación de precios. Aseguran que es necesario combinar varias medidas de protección para ser más efectivos.
Chaos Labs también sostiene que el ataque podría haberse evitado si se aplicaran medidas como: “El contrato wUSDM debería utilizar un sistema de verificación de tasas de cambio de múltiples fuentes. O si Venus hubiera sido advertido a tiempo, podrían haber limitado el aumento anómalo de la tasa de cambio.” Para evitar que esto se repita, Aave planea implementar el mecanismo CAPO – una herramienta que limita el aumento de precios artificiales – para todas las criptomonedas rentables, impidiendo que los hackers generen ganancias ficticias.
La cuenta X de Curve Finance comenta: "Esta vulnerabilidad no solo ocurre con los vaults estándar, sino con todo tipo de vaults. Este es un error común en las plataformas de préstamos."
Keselbrener comentó: “El mecanismo CAPO es muy eficaz, pero requiere un código de programación más complejo y necesita ser monitoreado continuamente. Debemos asegurarnos de que no obstaculice las ganancias legítimas mientras sigue impidiendo a los hackers.” Agregó: “A medida que DeFi se vuelve más complejo, no podemos confiar solo en datos de precios simples. Es necesario entender los riesgos de cada tipo de criptomoneda. Un sistema de verificación de precios de múltiples fuentes no es una desventaja, sino una capa de protección importante. Los proveedores de oráculos especializados pueden diseñar medidas para detectar y prevenir ataques como este.”
Descargo de responsabilidad:Este artículo tiene únicamente fines informativos, no es un consejo de inversión. Los inversores deben investigar a fondo antes de tomar decisiones. No nos hacemos responsables de sus decisiones de inversión
Tailandia aprueba USDT y USDC, ampliando el comercio de criptomonedas
La agencia reguladora financiera de California advierte sobre 7 tipos de fraudes relacionados con criptomonedas y AI nuevos
Microsoft detecta el troyano StilachiRAT que ataca carteras de criptomonedas en Google Chrome de forma remota
Thạch Sanh
@media only screen and (min-width: 0px) and (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
width:320px;
height: 100px;
}
}
@media only screen and (min-width: 728px) and (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
width: 728px;
height: 90px;
}
}
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
El reciente ataque a DeFi expuso una vulnerabilidad en el estándar de vault ERC-4626
El 27 de febrero, un hacker llevó a cabo lo que se llama un "ataque de donación" al pedir prestados alrededor de 4 millones de dólares de Aave, una plataforma de préstamos de criptomonedas. El objetivo era el token wUSDM, que pertenece al sistema de bóveda ERC-4626 del Mountain Protocol. Este es un tipo de criptomoneda rentable, vinculada a la stablecoin USDM, una criptomoneda que tiene un valor estable gracias a estar respaldada por bonos a corto plazo de EE. UU. El hacker intentó deliberadamente elevar el tipo de cambio de wUSDM de 1,06 a 1,7, haciendo que pareciera tener un valor más alto de lo que realmente tiene.
A continuación, el hacker utilizó dos cuentas para "liquidar" - es decir, fingir vender activos propios - en Venus Protocol, otra plataforma de préstamos. Aunque Venus rápidamente bloqueó las transacciones para detenerlo, el hacker aún se embolsó alrededor de 200.000 USD en ganancias. Mientras tanto, Venus sufrió pérdidas de más de 716.000 USD, según un informe de análisis de Chaos Labs, una empresa especializada en gestión de riesgos.
Yoni Keselbrener, jefe del departamento DeFi en Lightblocks Labs, compartió con The Block: “Ambos equipos respondieron a tiempo al bloquear el mercado, ajustando las reglas de riesgo y llevando la tasa a niveles normales.” Keselbrener es un colaborador de eOracle, un sistema que proporciona datos en tiempo real para aplicaciones descentralizadas en Ethereum.
Vault ERC-4626, lanzado en mayo de 2022, es el estándar para crear reservas de criptomonedas. Sin embargo, un informe de Chaos Labs indica que este estándar "no tiene medidas de protección cuando la tasa de cambio varía anormalmente en las plataformas de préstamo."
En enero de 2024, Euler Finance publicó un estudio advirtiendo que la mayoría de los vaults ERC-4626 no tienen mecanismos de seguridad para prevenir la manipulación de precios. Aseguran que es necesario combinar varias medidas de protección para ser más efectivos.
Chaos Labs también sostiene que el ataque podría haberse evitado si se aplicaran medidas como: “El contrato wUSDM debería utilizar un sistema de verificación de tasas de cambio de múltiples fuentes. O si Venus hubiera sido advertido a tiempo, podrían haber limitado el aumento anómalo de la tasa de cambio.” Para evitar que esto se repita, Aave planea implementar el mecanismo CAPO – una herramienta que limita el aumento de precios artificiales – para todas las criptomonedas rentables, impidiendo que los hackers generen ganancias ficticias.
La cuenta X de Curve Finance comenta: "Esta vulnerabilidad no solo ocurre con los vaults estándar, sino con todo tipo de vaults. Este es un error común en las plataformas de préstamos."
Keselbrener comentó: “El mecanismo CAPO es muy eficaz, pero requiere un código de programación más complejo y necesita ser monitoreado continuamente. Debemos asegurarnos de que no obstaculice las ganancias legítimas mientras sigue impidiendo a los hackers.” Agregó: “A medida que DeFi se vuelve más complejo, no podemos confiar solo en datos de precios simples. Es necesario entender los riesgos de cada tipo de criptomoneda. Un sistema de verificación de precios de múltiples fuentes no es una desventaja, sino una capa de protección importante. Los proveedores de oráculos especializados pueden diseñar medidas para detectar y prevenir ataques como este.”
Descargo de responsabilidad: Este artículo tiene únicamente fines informativos, no es un consejo de inversión. Los inversores deben investigar a fondo antes de tomar decisiones. No nos hacemos responsables de sus decisiones de inversión
Thạch Sanh
@media only screen and (min-width: 0px) and (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { width:320px; height: 100px; } } @media only screen and (min-width: 728px) and (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { width: 728px; height: 90px; } }