Proyecto de criptomoneda Beanstalk robado después de que un pirata informático votara para enviarse a sí mismo $ 182 millones

El domingo, un atacante logró obtener aproximadamente USD 182 millones en criptomonedas de Beanstalk Farms, un proyecto financiero descentralizado (DeFi) destinado a equilibrar la oferta y la demanda de varios activos de criptomonedas. En particular, el ataque aprovechó el sistema de gestión de votos mayoritarios de Beanstalk, una característica central de muchos protocolos DeFi.

el ataque fue visto el domingo por la mañana por la firma de análisis de blockchain PeckShield, que estimó la ganancia neta del pirata informático en alrededor de $ 80 millones del total de fondos robados, menos parte del dinero prestado necesario para llevar a cabo el ataque.

Beanstalk admitió el ataque en un tuit poco despuésy dijo que estaban “investigando el ataque y harían un anuncio a la comunidad lo antes posible”.

Beanstalk se describe a sí mismo como un “protocolo de moneda estable basado en crédito descentralizado”. Opera un sistema en el que los participantes obtienen recompensas al contribuir con dinero a un fondo común de financiación central (“el silo”) que se utiliza para equilibrar el valor de un token (conocido como “bean”) contra casi $1.

Al igual que muchos proyectos DeFi, los creadores de Beanstalk, un equipo de desarrollo llamado Publius, incorporaron un mecanismo de gobernanza que permitía a los participantes votar colectivamente sobre los cambios en el código. Luego se les otorgarían derechos de voto en proporción al valor de los tokens que poseían, creando una vulnerabilidad que resultaría ser la ruina del proyecto.

El ataque fue posible gracias a otro producto DeFi llamado “préstamo flash”, que permite a los usuarios pedir prestadas grandes cantidades de criptomonedas por períodos de tiempo muy cortos (minutos o incluso segundos). Los préstamos flash están destinados a proporcionar liquidez o aprovechar las oportunidades de arbitraje de precios, pero también pueden usarse para fines más nefastos.

Según el análisis de la firma de seguridad de blockchain CertiK, el atacante de Beanstalk usó un préstamo rápido obtenido a través del protocolo descentralizado Aave para pedir prestados casi $ 1 mil millones en activos de criptomonedas e intercambiarlos por suficientes frijoles para adquirir una participación con derecho a voto del 67 por ciento en el proyecto. Con esta participación supermayoritaria, pudieron aprobar la ejecución del código que transfirió los activos a sus propias billeteras. Luego, el atacante devolvió inmediatamente el préstamo flash, obteniendo una ganancia de $ 80 millones.

Basado en el plazo de un préstamo flash Aave, todo el proceso se llevó a cabo en menos de 13 segundos.

“Estamos viendo una tendencia creciente en los ataques de préstamos rápidos este año”, dijo el director general y cofundador de CertiK, Ronghui Gu. “Estos ataques enfatizan la importancia de una auditoría de seguridad, así como la educación sobre las trampas de las vulnerabilidades al escribir código Web3”.

Cuando se implementan correctamente, los servicios DeFi aprovechan toda la seguridad de blockchain, pero su complejidad puede dificultar la auditoría completa del código, lo que convierte a estos proyectos en un objetivo atractivo para los piratas informáticos. En el caso del hackeo de Beanstalk, el equipo de Publius admitió que no habían incluido ninguna disposición para reducir la posibilidad de un ataque de préstamo rápido, aunque esto presumiblemente solo quedó claro una vez que surgió la situación.

Una solicitud de comentarios (enviada al equipo de Publius a través de Discord) no ha recibido respuesta hasta el momento de la publicación.

Brian Pasfield, CTO de la plataforma de préstamos en criptomoneda Fringe Finance, dijo que las estructuras de gobierno descentralizadas (conocidas como DAO) también pueden causar problemas.

“La gobernanza de DAO es tendencia en DeFi en este momento”, dijo Pasfield. “Si bien es un paso necesario en el proceso de descentralización, debe hacerse gradualmente y sopesando cuidadosamente todos los riesgos posibles. Los desarrolladores y administradores deben ser conscientes de los nuevos puntos de falla que pueden crear los desarrolladores o los miembros de DAO de manera intencional o accidental.

Para los inversores en Beanstalk que han perdido sus monedas apostadas, puede haber pocos recursos. En un mensaje publicado inmediatamente después del ataque, los fundadores de Beanstalk escribieron que era “altamente improbable” que el proyecto tuviera un rescate, ya que no se había desarrollado con el respaldo de VC, y agregaron que “estamos jodidos”.

En el servidor Discord del proyecto, muchos usuarios afirman haber perdido decenas de miles de dólares en criptomonedas invertidas. Desde el ataque, el hacker ha estado… mover dinero con Tornado Cash, un servicio de mezcla centrado en la privacidad que se ha convertido en un primer paso para lavar fondos de criptomonedas robados. Con gran parte del dinero robado oculto, es poco probable que sea rastreado y devuelto.

A raíz del ataque, el valor de la moneda estable BEAN ha caído, rompiendo la paridad de $1 y cotizando a unos 14 centavos el lunes por la tarde.

Leave a Comment