Tres hackeos en el mismo día a las finanzas descentralizadas (DeFi). En efecto, después de Deus Finance, son los protocolos Agave y Cien los que han sufrido un robo equivalente a más de 11 millones de dólares. Las investigaciones siguen en curso y aún no sabemos si está previsto un reembolso para los usuarios afectados.
Hack en Agave y Cien Finanzas
Día difícil para las finanzas descentralizadas (DeFi): los protocolos Hundred Finance y Agave sufrieron un exploit, poco después del hackeo de Deus Finance a primera hora del día.
Desgraciadamente Cien y Agave han sido explotados hoy en la cadena Gnosis. El equipo de Gnosis está al tanto, la investigación está en curso.
Todos los mercados de los Cien en todas las cadenas están en pausa por ahora.
Estas son las dos transacciones:
Cien https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4– Hundred Finance (@HundredFinance) 15 de marzo de 2022
En total, el hacker robó más de 11 millones de dólares de la cadena Gnosis (xDai). El robo fue posible gracias a una función introducida en uno de los contratos desplegados, que permitía al ladrón tomar dinero prestado antes de que los protocolos pudieran realizarlo. Esto se conoce comúnmente como un «ataque de reentrada», que por desgracia es una forma bastante común de explotación.
Un defecto directamente en una de las fichas
El hacker depositó inicialmente el equivalente a 2 millones de dólares en garantía a través de un préstamo flash, antes de robar alrededor de 1,5 millones de dólares de varios tokens diferentes e, incluso antes de que el protocolo calculara la relación préstamo-valor, pudo repetir la acción varias veces. Así, la cantidad prestada era mayor que la depositada en garantía, lo que impedía al protocolo liquidar su posición.
Finalmente, el individuo terminó el exploit a través de la función «liquidationCall», lo que le permitió salir con los fondos robados después de pagar el primer préstamo inicial.
Según varios analistas, Agave y Hundred Finance, bifurcaciones respectivamente de Aave y Compound, no tienen nada que reprochar a su código interno. De hecho, se dice que el fallo proviene directamente de tokens con problemas de seguridad, que han habilitado esta función de «reentrada».
Hay que tener en cuenta que Aave no tiene que preocuparse por correr la misma suerte, ya que todas las fichas se estudian cuidadosamente antes de ser listadas en la plataforma, en particular para garantizar que la función de reentrada no sea posible.
¿Qué impacto para los protocolos?
Actualmente, parece imposible recuperar los fondos. De hecho, los fondos ya han pasado por la red principal y ya no es posible una reversión, aunque los contratos inteligentes en cuestión fueron rápidamente pausados. Además, parte de los fondos ya han pasado por la licuadora Tornado Cash, lo que limita mucho la posibilidad de rastrear los fondos.
Como las investigaciones aún están en curso, aún no sabemos si los distintos equipos prevén medidas de reembolso.
En cuanto a los tokens relacionados con los dos protocolos, el token Hundred Finance (HND) no se vio realmente afectado, ya que se encontraba en una tendencia a la baja desde principios de febrero.
Sin embargo, el token de Agave, AGVE, ha visto una clara ruptura desde los 69,5 dólares hasta los 53,2 dólares actuales.
Precio de las fichas de AGVE a 7 días
