Las plataformas de finanzas descentralizadas (DeFi) vuelven a ser noticia por problemas de seguridad. A tan solo una semana del hackeo en el que Qubit Finance perdió 80 millones de dólares en criptomonedas, Wormhole, que permite intercambiar tokens entre diferentes cadenas de bloques, se ha convertido en la víctima más reciente.
El miércoles, la plataforma dijo en Twitter que había perdido 120.000 wETH (cantidad que en ese momento ascendía a los 320 millones de dólares). Además explicó que todas las funciones de la plataforma se encontraban suspendidas debido a que estaban buscando un posible exploit, sospecha que más tarde fue confirmada.
Wormhole hace frente al ataque
El equipo de seguridad reveló se explotó una vulnerabilidad en uno de los puentes que permiten intercambiar tokens. Este sistema funciona gracias a contratos inteligentes que se ubican en la cadena de bloques de origen y la de destino. En este caso, el atacante se aprovechó de un agujero de seguridad del lado de Solana en un puente con Ethereum.
Los contratos inteligentes (uno de los pilares de las finanzas descentralizadas), son programas almacenados en una blockchain que se ejecutan cuando se cumplen determinadas condiciones y, al igual que cualquier otro código, pueden tener vulnerabilidades factibles de ser explotadas para robar criptomonedas.
Producto del hackeo, Certus One, la compañía detrás de Wormhole, le ofreció al hacker una recompensa de 10 millones de dólares por haber descubierto la vulnerabilidad en su plataforma (la cual aseguran que ya ha sido parcheada) y le pidió la devolución de los activos sustraídos. Asimismo logró identificar la 'wallet address' del atacante y rastrear sus movimientos.
Esta no es la primera vez que una plataforma de finanzas descentralizadas pide a los atacantes que devuelvan los activos robados. Poly Network vio como el equivalente a 610 millones de dólares en criptomonedas volvían a sus arcas tras un hackeo. Qubit Finance, por su parte, está intentando que recuperar los fondos del mismo modo.
1/2
— Wormhole (@wormhole) February 3, 2022
All funds have been restored and Wormhole is back up.
We're deeply grateful for your support and thank you for your patience.
Wormhole ha manifestado que, como "los fondos de la plataforma están respaldados", ya han sido restaurados. De momento no se sabe si los esfuerzos de la compañía por contactar con el hacker han dado sus frutos, aunque podríamos tener novedades cuando se publique el informe detallado del incidente.
De acuerdo a los datos de DeFiYield, el hackeo a Wormhole es el más importante en cantidad de fondos robados en lo que va del año y el segundo en la lista general. Por encima de este se encuentra Poly Network, con una pérdida de 602.189 millones de dólares (finalmente recuperados) y por debajo el de Vulcan Forged, cuyo hackeo le costó 140.000 millones de dólares.
Imágenes: Unsplash
Ver 32 comentarios