El protocolo Value DeFi sufre una vulneración de préstamos flash de 6 millones de dólares

Tras un hilo de Twitter el viernes que destacó la metodología de prevención de explotación de préstamos flash del protocolo de finanzas descentralizadas, Value DeFi parece haber sido víctima de una explotación de préstamos flash de USD 6 millones.

Aproximadamente a las 10:45 a.m. EST, un usuario obtuvo un préstamo flash de 80,000 ETH (más de USD 36 millones) del protocolo de préstamos Aave. El desarrollador de Aave, Emilio Frangella, llamó inmediatamente la atención sobre el préstamo:

80.000 eth flashloan on @AaveAave https://t.co/ngnHIoNKpi

— Emilio Frangella (@The3D_) November 14, 2020

Luego, el atacante usó los fondos para realizar un ataque de arbitraje de préstamos flash, dirigido a la bóveda de monedas estables múltiples de Value DeFi. El atacante depositó fondos en la bóveda, arbitró los fondos entre DAI y USDC y salió con un día de pago multimillonario.

A las 11:05, una declaración en la comunidad Discord reconoció el exploit:

Somos conscientes de la situación actual con la bóveda de MultiStables. Dennos un poco de tiempo para comprobarlo. Todas las demás bóvedas y pools funcionan normalmente.

Poco después del exploit, el atacante siguió con una transacción de Ethereum que parecía burlarse del protocolo Value DeFi con un mensaje enviado a la dirección del implementador del protocolo:

“¿De verdad conoces flashloan?”

El atacante pagó USD .31 en ETH de sus ganancias para enviar el mensaje.

A las 12:12, el protocolo dijo en un comunicado en Twitter que estaban preparando una auditoría sobre el exploit, que dijeron que provocó una pérdida de USD 6 millones para los usuarios:

The MultiStables vault was the subject of a complex attack that resulted in a net loss of $6M. https://t.co/dnFRa5yPBJ
We are currently working on a postmortem and are exploring ways to mitigate the impact on our users.

— Value DeFi Protocol (@value_defi) November 14, 2020

La bóveda de MultiStables fue objeto de un ataque complejo que resultó en una pérdida neta de USD 6 millones. 
Actualmente estamos trabajando en una auditoría y estamos explorando formas de mitigar el impacto en nuestros usuarios.

Desde el ataque, el valor del token de $VALUE se ha desplomado más del 25%, de 2,73 a 2,01, al cierre de esta edición.

Este exploit es solo el último de lo que ha sido una semana preocupante en el espacio DeFi que también presentó un ataque al protocolo Akropolis. En un tuit, Stani Kulechov de Aave señaló que el exploit es una señal de expansión de los vectores de ataque:

“Construir unas DeFi resiliente se está volviendo difícil”.

Sigue leyendo: