Tips
- Un hacker aún no identificado utilizó préstamos flash para drenar $6,2 millones del fondo de Belt FinanceBUSD.
- Con las tasas incluidas, el costo total del ataque fue de más de $50 millones de BUSD.
Belt Finance es el proyecto más reciente de finanzas descentralizadas (DeFi) basado en la Binance Smart Chain que ha perdido millones de dólares después de que un hacker desconocido realizara el llamado ataque de préstamo flash al protocolo.
Belt Finance es una plataforma de intercambio descentralizada similar a Uniswap, pero optimizada para las transferencias de stablecoin en lugar de los criptomonedas más volátiles.
El ataque, realizado el sábado por la noche, hizo que el pool de 4Belt perdiera 6.234.753 BUSD, una stablecoin vinculada al dólar estadounidense construida en la cadena Binance. Según el informe de incidencias del proyecto, se ejecutó "con una precisión milimétrica" utilizando un método contra el que el equipo no pudo protegerse.
1/ We apologize for the wait, but we wanted to make this right.
Here is the link to our incident report: https://t.co/l1hmAlMGbM
— Belt Finance (@BELT_Finance) May 30, 2021
Con la ayuda de un contrato inteligente que utilizaba PancakeSwap para los préstamos flash, el atacante consiguió explotar el pool de beltBUSD y sus protocolos de estrategia subyacentes. El hacker ejecutó el contrato ocho veces antes de que los desarrolladores se dieran cuenta del incidente y detuvieran las retiradas y los depósitos para parchear la vulnerabilidad.
Aunque el ataque duró apenas diez minutos, fue suficiente para que los usuarios de la bóveda de BeltBUSD sufrieran una pérdida de fondos del 21,36%, mientras que los usuarios del pool de 4Belt perdieron el 5,51%, según el equipo. El costo combinado del ataque fue de 50.030.452 BUSD, de los cuales 43.795.699 BUSD se utilizaron como comisiones de transacción.
De acuerdo con Belt Finance, las retiradas y los depósitos de fondos se reanudarán en las próximas 24-48 horas. El equipo también está trabajando en un plan de compensación que se detallará en las próximas 48 horas.
¿Qué es un ataque de préstamo flash?
Un ataque de préstamo flash es un tipo de ataque DeFi en el que un hacker toma un préstamo flash de un protocolo de préstamo y utiliza una serie de trucos para manipular el mercado a su favor.
Los préstamos flash son préstamos sin garantía que el prestatario realiza y devuelve en una sola transacción. Son útiles en este tipo de ataques porque permiten un fácil acceso al capital: en cuestión de segundos el atacante puede pedir prestado capital, explotar una vulnerabilidad por millones de dólares y devolver el préstamo inicial, todo ello en una sola transacción. Sin embargo, si el préstamo no se devuelve, toda la transacción se anula.
Baratas de realizar y fáciles de llevar a cabo, a menudo implican el uso de varios protocolos DeFi para ocultar los rastros y pueden ejecutarse en segundos.
Desde 2020, los ataques de préstamos flash han provocado varios cientos de millones de dólares en pérdidas para varios protocolos DeFi y parecen estar ganando más popularidad entre los ciberdelincuentes, con más proyectos basados en la cadena Binance como objetivo en las últimas semanas.
A principios de este mes, PancakeBunny, una plataforma de intercambio descentralizada (DEX) construida sobre el BSC, fue víctima de un ataque de préstamo flash y perdió $45 millones en fondos de usuarios. Apenas unos días después, BurgerSwap DEX fue objeto de un ataque similar, con un total de $7,2 millones drenados de su wallet.
En otras ocasiones este año, los proyectos de BSC, incluyendo Uranium Finance, bEarn, Spartan Protocol, Autoshark y Merlin Labs, han sido víctimas de diferentes explotaciones.
Sin embargo, podría haber algo de luz al final del túnel para los protocolos basados en BSC; la semana pasada, la empresa de criptomonedas CipherTrace añadió soporte para la blockchain, proporcionando herramientas para detectar actividades sospechosas en la cadena.