Tras un hackeo que provocó la pérdida de 200 millones de dólares el mes pasado, Balancer vuelve a sufrir un ataque, esta vez en el frontend del protocolo. ¿Qué medidas deben tomarse?
El protocolo DeFi Balancer sufre un hackeo en el frontend
Hace apenas un mes, el protocolo Decentralized Finance (DeFi) Balancer (BAL) sufrió un importante hackeo por valor de 200 millones de dólares, que supuso la pérdida de aproximadamente el 20% del valor total bloqueado (TVL) en la aplicación.
Hoy, Balance se enfrenta a un nuevo ataque, que esta vez afecta al frontend del protocolo. Como consecuencia, los equipos del proyecto han pedido que no se utilice el sitio web hasta nuevo aviso:
El frontend del balanceador está siendo atacado. El problema está siendo investigado. NO interactúe con la interfaz de usuario del equilibrador hasta nuevo aviso:
– Balancer (@Balancer) 19 de septiembre de 2023
A diferencia de un ataque a contratos inteligentes, un ataque frontal actuará de forma mucho más insidiosa. El primer tipo de ataque tratará de explotar un fallo en el código fuente de una aplicación para desviar el efectivo depositado en ella. Los ataques front-end, en cambio, se dirigen a la interfaz de usuario.
A partir de ahí, pueden contemplarse varias posibilidades. Una posibilidad es intentar que las víctimas aprueben un contrato inteligente fraudulento, en particular atacando al proveedor del Sistema de Nombres de Dominio (DNS) para sustituir un contrato inteligente legítimo por código malicioso.
Aún no está claro el importe de las pérdidas
En el momento de escribir este artículo, las consecuencias de este ataque aún no estaban claras, aunque este parece mucho más comedido que el del mes pasado.
Según la empresa de seguridad blockchain PeckShield, se robó al menos el equivalente a 238.000 dólares:
PeckShieldAlert @Balancer ha informado de que su frontend sufrió un ataque, se robaron criptomonedas por valor de ~$238k https://t. co/aAaj0Xqery pic.twitter.com/YDIjfnNYM4
– PeckShieldAlert (@PeckShieldAlert) 20 de septiembre de 2023
Además, una parte del ETH robado se intercambió por AVAX, que luego se envió a una dirección de depósito en el intercambio de criptodivisas MEXC.
Para las personas que piensan que pueden haber aprobado un contrato inteligente fraudulento, ya sea en Balancer o en otro lugar, es importante eliminar estas aprobaciones rápidamente, antes de que conduzcan a una posible fuga de fondos. Para ello, se pueden utilizar herramientas como revoke.cash, así como las secciones «Token Approvals» de exploradores de blockchain como Etherscan o Polygonscan, dependiendo de la blockchain que se esté utilizando.
Además del hackeo del mes anterior, Balancer también había advertido de otro problema a principios de año, pidiendo a sus usuarios que retiraran ciertas liquidez de los pools.
El token BAL bajaba un 1,3% en el momento de escribir estas líneas, a 3,29 dólares cada uno. Desde su máximo histórico durante el último mercado alcista, el precio del activo se ha devaluado más de un 95%.
