El último ataque a un puente DeFi le provoca pérdidas de USD 4.4 millones a Meter
La plataforma de puente de tokens Meter Passport ha incurrido en pérdidas de USD 4.4 millones debido a un hackeo de contratos inteligentes que también hizo que Hundred Finance perdiera USD 3.3 millones a través de préstamos sin garantía.
Meter.io’s Meter Passport (MTRG) es un puente de tokens compatible con Ethereum y sus sidechains. Este ataque afectó al lado Moonriver del puente.
Moonriver es una plataforma de contratos inteligentes basada en la red Kusama de Polkadot. Hundred Finance es una plataforma de préstamos de criptomonedas basada en el código de Compound Finance.
A partir de las 14:00 UTC del 5 de febrero y en el transcurso de varias transacciones, se acuñaron unos USD 4.4 millones en Binance Coin (BNB) y wETH a través de una “suposición de confianza errónea” en el código, según un comunicado del equipo de Meter del 6 de febrero. En este caso, se depositó en Meter una cantidad arbitraria de ETH que el hacker utilizó para acuñar tokens utilizando la vulnerabilidad.
1. Around 6am Pacific time we identified someone was able to leverage a vulnerability of the bridge to mint a large amount of BNB and WETH tokens and depleted the bridge reserve for BNB on WETH.
— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022
1. Alrededor de las 6 de la mañana hora del Pacífico identificamos que alguien pudo aprovechar una vulnerabilidad del puente para acuñar una gran cantidad de tokens BNB y WETH y agotó la reserva del puente para BNB en WETH.
El ataque provocó un efecto cascada en todo el ecosistema de Moonriver, basado en Kusama. Tras vaciar a Meter de sus reservas de BNB y wETH, el atacante vendió el BNB en SushiSwap, un popular exchange descentralizado. Esto provocó una caída del 77% en el precio del BNB en Moonriver en ese momento.
Varios oportunistas se aprovecharon de la caída del precio comprando BNB baratos. Utilizaron los tokens como garantía en Hundred Finance para obtener préstamos de ETH, FRAX y MIM. Sin embargo, debido a la discrepancia en el precio del BNB, sus préstamos valían más que la garantía que habían proporcionado, provocando una crisis de suministro.
2/4. Accounts were able to purchase BNB.bsc at a reduced price and use these tokens as collateral at the global Chainlink price to borrow uncompromised assets on our platform. Of these, MIM and FRAX are currently impacted.
— Hundred Finance (@HundredFinance) February 6, 2022
2/4. Las cuentas pudieron comprar BNB.bsc a un precio reducido y utilizar estos tokens como garantía al precio global de Chainlink para tomar prestados activos no comprometidos en nuestra plataforma. De estos, MIM y FRAX están actualmente impactados.
Sorprendentemente, dos de los préstamos fueron devueltos, dejando un saldo de USD 3.3 millones en pérdidas para el protocolo de Hundred. El préstamo de ETH fue devuelto en su totalidad. El equipo de Hundred ha intentado ponerse en contacto con las partes implicadas para pedirles que devuelvan los tokens BNB utilizados como garantía a Meter.
El equipo de Meter se ha comprometido a reembolsar a su comunidad y a Hundred Finance por las pérdidas sufridas debido al hackeo. El equipo declaró el 6 de febrero que había reservado USD 4.4 millones en tokens MTRG para cubrir las pérdidas iniciales.
“Vfat”, el fundador seudónimo de Hundred Finance, dijo en una declaración a Rekt News el 6 de febrero que:
“Meter, por supuesto, ha aceptado la responsabilidad de este hackeo y tiene la intención de utilizar su token nativo para el reembolso en la medida en que pueda. Actualmente estamos en la etapa de recopilación de direcciones y cantidades.”
La firma de seguridad blockchain PeckShield estimó que, en total, 1,391 ETH y 2.74 wBTC fueron tomados por el atacante y desde entonces han sido enviados Ethereum donde los tokens han pasado por Tornado Cash, una herramienta de privacidad de transacciones ETH.
Un representante del equipo de Hundred Finance le dijo a Cointelegraph que esperaría alrededor de un día antes de tomar medidas para reabrir los mercados MIM y FRAX en el lado de Moonriver de su plataforma. En respuesta a una pregunta sobre la seguridad del puente, el equipo de Hundred le dijo a Cointelegraph:
“Esperamos que los puentes refuercen su seguridad y hagan más segura su tecnología. En cuanto a nosotros, seremos aún más estrictos con los activos y los puentes de las nuevas cadenas.”
Los detalles iniciales del exploit del código de Meter se asemejan al hackeo de Wormhole del 3 de febrero, en el que se acuñaron y extrajeron maliciosamente 120,000 wETH (USD 321 millones) de la plataforma de Wormhole. En ese incidente, el hacker explotó un error de contrato inteligente para acuñar wETH a voluntad y envió los tokens a Ethereum, donde se lavaron a través de Tornado Cash.
Artículo actualizado para añadir que el préstamo de ETH en Hundred Finance ha sido devuelto
Sigue leyendo: