Tercer hackeo en menos de dos semanas de los puentes de la cadena. Esta vez se trata de Meter Passport, el puente de Meter, que ha sido explotado por valor de 4,3 millones de dólares tras un fallo en su código. Esto también provocó una depreciación del valor del NBB en Moonriver, lo que permitió a los usuarios realizar préstamos más baratos.
Puente del medidor hackeado
Meter Passport, el puente de sidechain Meter, sufrió un hackeo de 4,3 millones de dólares el 5 de febrero alrededor de las 3 de la tarde. El exploit involucra el contrato inteligente Moonriver, que se basa en Kusama, el blockchain de Polkadot testnet.
Comunidad, agradecemos mucho la paciencia y el apoyo de todos mientras trabajamos para volver a funcionar después del exploit de esta mañana.
Lo hemos detallado todo en el siguiente hilo:
– ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022
Según el informe técnico del ataque realizado por Certik, empresa especializada en seguridad de blockchain, el hacker robó más de 4,2 millones de dólares en ETH y 83.000 dólares en wBTC (bitcoin envuelto).
Supuestamente, consiguió introducir código malicioso en una función de depósito del puente, haciendo que pareciera que había depositado wETH (éter envuelto), antes de utilizarlo para acuñar tokens BNB y wETH para revenderlos en SushiSwap.
Para cubrir su rastro, el hacker envió entonces su botín en Tornado Cash, un protocolo que permite mezclar tokens para hacerlos ilocalizables.
NBB depreciación en Moonriver
Pero el problema, desgraciadamente, no acaba en el propio hack. El pirata informático revendió sus BNB robados en el intercambio SushiSwap, lo que provocó que el precio del token se desplomara un 77% en Moonriver.
Como resultado, los usuarios aprovecharon la situación para comprar NBBs a un precio más bajo en el protocolo de Hundred Finance y luego utilizarlos como garantía para pedir prestados MIMs, FRAXs o ETHs.
El equipo de Cien Finanzas ha pedido públicamente que quienes se aprovecharon de la brecha devuelvan sus fondos para no penalizar a toda la comunidad.
2/4. Las cuentas pudieron comprar BNB.bsc a un precio reducido y utilizar estos tokens como garantía al precio global de Chainlink para tomar prestados activos no comprometidos en nuestra plataforma. De ellos, MIM y FRAX se ven afectados actualmente.
– Hundred Finance (@HundredFinance) February 6, 2022
En el momento de redactar este documento, los préstamos ETH se han devuelto en su totalidad. Sin embargo, la plataforma sigue teniendo un déficit de 3,3 millones de dólares.
Sin embargo, Meter ha reconocido que es responsable de la situación y se compromete a devolver a Hundred Finance:
Por supuesto, Meter ha aceptado la responsabilidad del hackeo y tiene la intención de utilizar su token nativo [MTRG] para el reembolso cuando sea posible. Actualmente estamos recogiendo las distintas direcciones y el importe correspondiente a cada una». – Vfat, el fundador de Hundred Finance, en una declaración a Rekt News.
Puentes transversales en problemas
A pesar de este golpe, Meter supo reaccionar rápidamente y anunció que había compensado el déficit causado por el hackeo reinyectando tokens BNB y wETH en su propia plataforma para restablecer la proporción 1:1 original.
Sin embargo, este es el tercer hackeo de un puente en el espacio de dos semanas, y lo que es más importante, implica tres procesos muy similares. De hecho, como informamos el 28 de enero, el puente de Qubit Finance había sufrido una explotación de 80 millones de dólares.
Menos de una semana después, le tocó al protocolo Wormhole ser despojado de 320 millones de dólares en forma de wETH, constituyendo así uno de los mayores ataques jamás observados en el mundo de las finanzas descentralizadas.
El año 2022 tiene, por tanto, un comienzo bastante doloroso para los puentes entre cadenas, que probablemente tendrán que redoblar sus esfuerzos para (re)ganar la confianza de los usuarios.
