Según informes, el ataque se presentó durante la migración de tokens v2.1 debido a errores en los contratos. Sin embargo, algunos usuarios sospechan que se trate de una estafa.
***
Uranium Finance, una plataforma de finanzas descentralizadas (DeFi) basada en Binance Smart Chain (BSC), reportó haber sufrido un hackeo que derivó en la pérdida de USD $50 millones.
En un tweet publicado este miércoles, la plataforma de creación de mercado automatizada (AMM) reveló que el ataque informático fue dirigido a su evento de migración de tokens v2.1. El equipo de Uranium solicitó a los usuarios reportar el hackeo a Binance con el objetivo de impedir que los fondos cambien de cadena de bloques.
“La migración de Uranium ha sido vulnerada, la siguiente dirección tiene $50 millones en ella. Lo único que importa es mantener los fondos en BSC, todo el mundo por favor comience a twittear esta dirección a Binance inmediatamente pidiéndoles que detengan las transferencias”.
(1/2) Uranium migration has been exploited, the following address has 50m in it The only thing that matters is keeping the funds on BSC, everyone please start tweeting this address to Binance immediately asking them to stop transfers.
— Uranium Finance (@UraniumFinance) April 28, 2021
window.coinzilla_display = window.coinzilla_display || []; var c_display_preferences = {}; c_display_preferences.zone = “163865aa96fe763d82”; c_display_preferences.width = “468”; c_display_preferences.height = “60”; coinzilla_display.push(c_display_preferences);
El protocolo DeFi también informó que estaba en contacto con el equipo de seguridad de Binance para mitigar la situación. En el mismo hilo de tweets, solicitaron a los hackers ponerse en contacto con la plataforma para “llegar a un acuerdo” antes de que la situación “pase a mayores“.
Lanzado a inicios de mes, Uranium Finance es un protocolo de creador de mercado automatizado (AMM). Surgió de la bifurcación de Uniswap V2, y pretende ofrecer dividendos diarios a sus usuarios.
Hackers se llevan USD $50 millones
El equipo detrás del protocolo no ha aclarado qué fue exactamente lo que salió mal durante la migración de tokens. De acuerdo con el analista Igor Igamberdiev, de The Block Research, los contratos de pares en la versión V2 de Uranium tenían un error. Él explicó, citado por el portal de noticias The Block, que varios tokens, incluidos Bitcoin y ether, fueron drenados del protocolo.
Por su parte, un informe de Cointelegraph añadió que el hacker supuestamente se habría aprovechado de los errores en la lógica del modificador de saldo de Uranium, que infló el balance del proyecto por un factor de 100. Esta falla fue la que permitió al atacante sustraer un total de USD $50 millones del proyecto.
El investigador de The Block halló que se sustrajeron específicamente 80 bitcoins (USD$ 4,3 millones), 1.800 ETH (USD$ 4,7 millones), 17,9 millones de BUSD (USD$ 17,9 millones), 5,7 millones de USDT (USD$ 5,7 millones), 638.000 ADA (USD$ 0,8 millones), 26.500 DOT (USD$ 0,8 millones), 34.000 wrapped BNB (USD $ 18 millones), y 112.000 tokens U92, un token nativo de Uranium.
Datos de BSCscan, el explorador de bloques para BSC, muestran que el atacante ha cambiado los tokens ADA y DOT por ETH, aumentando el alijo de Ether a aproximadamente 2.400 ETH (USD $ 6,4 millones). Asimismo, informes indican que uno de los temores del equipo de Uranium ya está sucediendo, pues los autores materiales del robo han empezado a mover fondos fuera del ecosistema BSC.
De acuerdo con Cointelegraph, los 2.400 ether se están moviendo utilizando la utilizando la herramienta de privacidad de Ethereum Tornado Cash. Mientras tanto, datos de Etherscan, muestran que el atacante ha estado realizando transacciones en sumas de 100 ETH; y está utilizando el puente de intercambio descentralizado AnySwap para migrar fondos desde BSC a la red Ethereum.
No es el primer ataque de Uranium, ¿sospechoso?
Curiosamente, el repositorio de contratos de uranio también se ha eliminado de GitHub por algunas razones desconocidas.
Cabe señalar que este no es único ataque que ha experimentado la plataforma en su corta historia dentro del ecosistema DeFi. A principios de abril, los piratas informáticos vulneraron uno de los grupos de la plataforma y robaron alrededor de USD$ 1.3 millones en BUSD y BNB
En ese momento, el equipo de desarrollo de Uranium asumio la responsabilidad del incidente y se disculpó con la comunidad de usuarios. En una entrada de blog escribieron que habían “aprendido de sus errores” y que el protocolo sería auditado públicamente. De hecho, este incidente fue el que provocoó la primera migración a la versión 2 hace menos de dos semanas.
window.coinzilla_display = window.coinzilla_display || []; var c_display_preferences = {}; c_display_preferences.zone = “163865aa96fe763d82”; c_display_preferences.width = “468”; c_display_preferences.height = “60”; coinzilla_display.push(c_display_preferences);
Algunos usuarios se han mantenido escépticos ante el incidente más reciente, sugiriendo que podría tratarse de un ataque interno. Para algunos resultó extraño que el protocolo haya decidido actualizar tan solo 11 días después de desplegar la versión 2 de sus contratos -que ya habían sido auditados-, y teniendo en cuenta un hackeo previo.
Los hackeos a protocolos DeFi no son inusuales. De hecho este no es le primer ataque que sufre una plataforma descentralizada basada en BSC. A mediados de marzo, PancakeSwap y Cream Finance sufrieron un ataque de secuestro de DNS.
En marzo, Meerkat, un clon de Yearn.Finance basado en BSC, supuestamente estafó a sus usuarios, robando USD$ 31 millones en el proceso. Aunque luego se reveló que se trataba de una “prueba“. TurtleDex, otro proyecto basado en BSC, también resultó ser un scam poco después de su lanzamiento, llevándose más de 9.000 tokens BNB recaudados durante la preventa.
Lecturas recomendadas
- Proyecto DeFi Cover Protocol fue víctima de un hackeo pero los atacantes devolvieron los fondos
- Fundador del protocolo DeFi Nexus Mutual víctima de un hackeo por US $ 8M
- Binance Smart Chain supera a Ethereum por número de transacciones diarias en un 500%
Fuentes: Twitter, Cointelegraph, The Block
Versión de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash