Resumen de hacks, exploits y atracos de criptomonedas en 2020
A diferencia de años anteriores, las noticias sobre criptomonedas en 2020 no han estado dominadas por importantes hacks de exchanges y robos de Bitcoin por millones de dólares. Sin embargo, ha habido bastantes y la mayoría de ellos se han originado en el incipiente sector financiero descentralizado.
DeFi ha sido uno de los partícipes del impulso del mercado de criptomonedas en 2020 y es lógico que el panorama financiero emergente haya sido un imán para estafadores y hackers. Los contratos inteligentes en gran parte no auditados junto con el código clonado han sido una receta para vulnerabilidades y exploits, que a menudo resultan en el robo de millones de dólares en activos digitales.
Un informe de CipherTrace de noviembre de 2020 indicó que durante la primera mitad del año, DeFi se hizo cargo del 45% de todos los robos y hackeos, lo que resultó en más de USD 50 millones perdidos. Esa cifra se elevó al 50% de todos los robos y hacks en la segunda mitad, según el informe. En declaraciones a Cointelegraph, el director ejecutivo de CipherTrace, Dave Jevans, advirtió sobre una posible represión regulatoria: “Los hacks de DeFi ahora representan más de la mitad de todos los hacks de criptomonedas en 2020, una tendencia que está atrayendo la atención de los reguladores”.
Añadió que lo que más preocupa a los reguladores es la falta de cumplimiento de las normas contra el blanqueo de capitales: “Los fondos robados en el hackeo más grande de 2020, el hack de KuCoin de 280 millones de dólares, se lavaron utilizando protocolos DeFi”. Jevans también cree que es probable que 2021 traiga claridad por parte de los reguladores en términos de qué acciones se espera que tomen los protocolos DeFi para evitar las consecuencias de un incumplimiento de AML, Capture the Flag y posibles sanciones.
Hacks de exchanges en 2020
El hackeo de KuCoin ocurrió a fines de septiembre cuando el CEO de la bolsa, Johnny Lyu, confirmó que la incursión afectó a las billeteras activas Bitcoin, Ethereum y ERC-20 de la empresa, luego de que se filtraran las claves privadas.
A principios de octubre, KuCoin dijo que había identificado sospechosos y que había involucrado oficialmente a las fuerzas del orden en la investigación. A mediados de noviembre, el exchange con sede en Singapur declaró que había recuperado el 84% de las criptomonedas robadas y reanudó los servicios completos para la mayoría de sus activos negociables.
Hubo otros hacks de exchanges este año, pero KuCoin fue el más grande. En febrero, el exchange italiano Altsbit perdió casi todos sus fondos en un hack de USD 70,000, y ha habido un par de otras brechas menores en el exchange de criptomonedas. En octubre de 2020, se habían cerrado hasta 75 exchanges centralizados debido a varias razones, siendo el hackeo una de ellas.
Hacks y exploits de DeFi 2020
Con miles de millones de dólares vertidos en protocolos DeFi y yield farms, el panorama emergente se convirtió en un semillero de hackers. La primera gran incursión de 2020 ocurrió en la plataforma de préstamos DeFi bZx en febrero, cuando dos exploits de préstamos flash provocaron la pérdida de casi USD 1 millón en fondos de usuarios. Un préstamo flash es cuando se toma prestada una garantía de criptomonedas y se paga dentro de la misma transacción.
bZx congeló las operaciones para evitar más pérdidas, pero esto generó una ola de críticas por parte de los observadores de la industria que afirmaron que, en última instancia, era una plataforma centralizada después de todo y que podría representar la “muerte de DeFi”.
Los mercados colapsaron en marzo, lo que resultó en muchas liquidaciones de garantías, especialmente para el token MKR de Maker, pero estos no fueron hacks. El siguiente de ellos llegó el mes siguiente, cuando una versión envuelta de Bitcoin llamada imBTC fue atacada utilizando algo llamado método de reentrada estándar de token ERC-777. El atacante pudo desviar un grupo de liquidez de Uniswap por todo su valor, estimado en USD 300,000 en ese momento.
Abril también vio a la plataforma de préstamos china dForce drenada de toda su liquidez utilizando el mismo exploit. El hacker aumentó repetidamente su capacidad para tomar prestados otros activos y se llevó alrededor de USD 25 millones en fondos.
En junio, se descubrió un exploit en los contratos inteligentes de Bancor que resultó en la pérdida de hasta USD 460,000 en tokens. El creador de mercado automatizado de DeFi declaró que habían implementado una nueva versión del contrato inteligente que había solucionado la vulnerabilidad.
Balancer fue el siguiente protocolo DeFi en ser explotado por una suma de USD 500,000 en Ether envuelto robado de sus grupos de liquidez mediante un ataque de arbitraje bien planificado. Se llevaron a cabo una serie de préstamos flash e intercambios de tokens arbitrados en un ataque a una vulnerabilidad que el equipo de Balancer aparentemente ya conocía.
No es tanto un hack como otro exploit, pero bZx volvió a aparecer en las noticias en julio con una venta de tokens dudosa que fue manipulada por bots que colocaron órdenes de compra en el mismo bloque que marcó el inicio del evento de generación de tokens. Los atacantes tomaron casi medio millón de dólares en ganancias de impulso de precios.
El protocolo de opciones DeFi Opyn fue la siguiente víctima en agosto cuando los hackers explotaron sus contratos Put de ETH con más de USD 370,000. El exploit permitió a los atacantes “ejercitar dos veces” Ethereum Put oTokens y robar la garantía. Opyn recuperó alrededor de 440,000 en USDC de bóvedas sobresalientes utilizando un hack de sombrero blanco, devolviéndolos efectivamente a los vendedores Put.
Una vez más, no un hackeo directo sino una falla de código en un contrato inteligente de Yam Finance no auditado afectó el rebase del token de gobernanza, lo que resultó en un colapso de precios a mediados de agosto. El protocolo se vio obligado a apelar a las ballenas DeFi para salvarlo votando por un reinicio como versión 2.
Cuando el sushi se desenrolla
La saga SushiSwap comenzó a finales de agosto y se acuñaron los términos “minería de vampiros” y “tirar de la alfombra”. El clonador y administrador de protocolo anónimo conocido como “Chef Nomi” vendió tokens SUSHI por valor de USD 8 millones, lo que provocó que el precio del token colapsara. Unos días después, el protocolo fue rescatado por el CEO del exchange FTX, Sam Bankman-Fried, a quien un consorcio de ballenas DeFi entregó el control a través de un contrato inteligente de múltiples firmas. Finalmente, todos los fondos se devolvieron al fondo del desarrollador.
Tirar de la alfombra, o “pump and dump”, como se denominó durante el anterior boom de altcoin en 2017, continuó con una serie de clones de DeFi como Pizza y Hotdog. Los precios de los tokens para estas granjas de alimentos aumentaron y colapsaron en horas y, a veces, incluso en minutos.
A mediados de octubre, hordas de “farmers degenerados”, o degens, como se les llamaba, acumularon dinero en un contrato inteligente no auditado y no publicado del fundador del protocolo DeFi, Yearn Finance, Andre Cronje. El contrato de Eminence Finance perdió USD 15 millones cuando fue hackeado pocas horas después de que Cronje publicara teasers sobre el nuevo “multiverso de juegos” en Twitter. El hacker devolvió alrededor de USD 8 millones pero se quedó con el resto, lo que llevó a los traders descontentos a iniciar acciones legales contra el equipo de Yearn por la pérdida de fondos.
A fines de octubre, un sofisticado ataque de arbitraje de préstamos relámpago al protocolo Harvest Finance resultó en la pérdida de USD 24 millones en monedas estables en alrededor de siete minutos. El ataque provocó un debate sobre si estas explotaciones del diseño del sistema pueden considerarse hackeos.
Noviembre fue un mes particularmente doloroso para Akropolis, que tuvo que “pausar el protocolo” ya que los hackers se llevaron USD 2 millones en la moneda estable DAI. El protocolo Value DeFi perdió USD 6 millones en un exploit de préstamo flash demasiado común, el proyecto de moneda estable generadora de yield Origin Dollar fue vulnerada y perdieron USD 7 millones, y Pickle Finance sufrió una pérdida colateral de USD 20 millones en un sofisticado exploit de “jarra malvada”.
Uno que rompió el molde de la explotación del sistema fue un ataque personal a un individuo a mediados de diciembre. El fundador del protocolo Nexus Mutual DeFi, Hugh Karp, perdió USD 8 millones de su billetera MetaMask cuando un hacker logró infiltrarse en su computadora, falsificando una transacción. Estos tipos de ataques son generalmente menos comunes ya que involucran algún grado de ingeniería social.
El último ataque de préstamos flash reportado del año, hasta ahora, fue una incursión de USD 8 millones en Warp Finance el 18 de diciembre.
Muchos traders e inversores minoristas también han cometido intentos de phishing y los propietarios de billeteras de hardware de Ledger también han sido atacados en 2020 después de que la información personal de unos 272,000 compradores de Ledger fuera hackeada.
La batalla por fortalecer DeFi
La mayoría de las explotaciones de contratos inteligentes y préstamos flash en 2020 servirán para fortalecer el ecosistema financiero emergente a medida que se desarrolla. Es probable que surjan protocolos DeFi nuevos e inteligentes el próximo año, pero, como siempre, los estafadores, hackers y ciberdelincuentes también mejorarán su juego en un intento de mantenerse a la vanguardia.
Se necesita una gran dosis de vigilancia y atención para profundizar en el mundo actual de DeFi, pero ha recorrido un largo camino en tan poco tiempo, y el panorama financiero descentralizado del futuro está en constante evolución.
Sigue leyendo: