Inverse Finance se ha quedado hoy con 15 millones de dólares en criptomonedas antes de lavarlos a través de Tornado Cash.
Inverse Finance es la última víctima de un exploit DeFi que ha provocado la pérdida de más de 15 millones de dólares, según ha revelado Peckshield este fin de semana. La firma de seguridad de blockchain publicó un tuit que simplemente decía: «Hola, @InverseFinance, es posible que quieras echar un vistazo», vinculado a una transacción en Etherscan.
Lavado de cripto a través de Tornado Cash
En las últimas horas, el explotador envió cientos de transacciones de Ethereum a Tornado Cash. Tornado Cash es una herramienta estándar entre los hackers y explotadores para intentar ofuscar su historial de transacciones. Describen su servicio como una herramienta que «mejora la privacidad de las transacciones al romper el vínculo en la cadena entre las direcciones de origen y destino». Utiliza un contrato inteligente que acepta depósitos de ETH que una dirección diferente puede retirar».
Los usuarios generan una clave aleatoria y depositan ETH junto con el billete. A continuación, el usuario proporciona una prueba de la clave del billete desde otro monedero para retirar el ETH, rompiendo así la cadena de transacciones que «sólo el usuario que posee el billete puede vincular el depósito y la retirada.»
El exploit implicaba un oráculo TWAP que requiere manipular el precio de un token de gobernanza de un proyecto DeFi con poca liquidez. TWAP significa Time Weighted Average Price y «se construye leyendo el precio acumulado de un par de tokens ERC20 al principio y al final del intervalo deseado. La diferencia de este precio acumulado puede dividirse entonces por la duración del intervalo para crear un TWAP para ese periodo.» Una explicación detallada del exploit está disponible a través de un hilo creado por el embajador de la comunidad Chainlink, ChainLinkGod.
Otro día, otra manipulación del oráculo TWAP
Notas:
1. La muestra de tiempo de TWAP era demasiado corta
2. La liquidez de DEX es significativamente menor que la de CEX
3. 3. El atacante eliminó las oportunidades de negociación en cadena
4. 4. El arbitraje CEX-DEX no se produjo
5. El precio de todo el mercado no se vio tan afectado como el precio DEX https://t.co/qSgpzAKGxS– ChainLinkGod.eth ⬡ (@ChainLinkGod) April 2, 2022
La respuesta de la financiación inversa
FinanzasInversas ha acudido esta tarde a Twitter Spaces para hablar de los sucesos de la hazaña. En ella, explican cómo todas las decisiones pasan por el gobierno en cadena del DAO. Por lo tanto, se plantea la cuestión de si esto permite una toma de decisiones rápida durante crisis como esta. El equipo se mostró extremadamente tranquilo y sereno durante el espacio en Twitter, describiendo la manipulación del oráculo con mucha naturalidad. Culpan a la «ineficiencia del arbitraje», ya que el explotador utilizó 500.000 dólares de garantía para robar 15 millones de dólares en minutos.
El DAO ha activado ahora la regla del guardián en Anchor para evitar futuros robos a través del protocolo utilizado durante el exploit. Esto pretende «mitigar cualquier ataque futuro del mismo tipo». A continuación, explican cómo su «protección de clavijas» les permite restaurar rápidamente las clavijas y los incentivos del mercado, que utilizaron tras el exploit. El espacio de Twitter continúa durante otros 30 minutos, explicando otras características de Inverse Finance en un llamamiento para restaurar la confianza en el proyecto.
Los exploits no son hacks.
Lo que es importante señalar aquí es que el responsable de esta acción no es un hacker, como algunos pueden informar. Muchos artículos se preguntan actualmente: «Si DeFi es tan bueno, ¿por qué sigue siendo hackeado?». La respuesta es que la mayoría de los exploits no son hacks. En este último incidente no se ha descifrado ningún código o permiso de seguridad. En cambio, un individuo se aprovechó de un descuido de los desarrolladores.
DeFi implica muchas partes móviles, que tienen menos de cinco años de antigüedad. La expectación por este tipo de proyectos es lo suficientemente grande como para que los inversores estén dispuestos a depositar fondos en proyectos no probados con la esperanza de disfrutar de grandes ganancias.
El token de gobierno de Inverse Finance, INV, suele tener un volumen medio diario de unos 900.000 dólares con una capitalización de mercado de 31 millones de dólares. El volumen ha subido hoy un 5000% debido a la hazaña, y la TVL del proyecto se sitúa actualmente en unos 27 millones de dólares. Estas cifras parecen bajas para el mundo de las criptomonedas pero, en realidad, son cantidades que cambiarían la vida de la mayoría de las personas en todo el mundo. Se necesitaron 500.000 dólares para ejecutar el exploit, lo que supuso un aumento del 2.900% para el ‘atacante’.
Al lavar el dinero a través de Tornado Cash, el argumento a favor de DeFi de que todas las transacciones son rastreables se vuelve mucho más débil. La única manera, según veo, es seguir el dinero. El explotador envió ETH en denominaciones de 100, 10 y 1. Por lo tanto, en este caso, seguirlo requeriría rastrear cada retiro de esas cantidades de Tornado Cash en el futuro previsible. Una tarea que no es viable. Incluso si esto pudiera lograrse, no hicieron nada ilegal. ¿Contra las condiciones de uso? Muy probablemente. ¿Cuestionablemente ético? Ciertamente, pero, como sabemos, la regulación de DeFi es un área en evolución, y este incidente se produjo por alguien que hizo operaciones completamente legales en una blockchain pública.
El DeFi es un trabajo en progreso. Pone de manifiesto la creciente necesidad de mejorar las prácticas y aumentar las pruebas en el desarrollo de la web3. Esperamos que la confianza del público no se vea arruinada por los informes casi diarios de exploits de DeFi.
