Ethereum

¿Cómo se piratean los registros de DeFi?

single-image
img-ads


El sector financiero descentralizado está creciendo rápidamente. Hace tres años, el valor total bloqueado en DeFi era de solo $ 800 millones. Para febrero de 2021, el número había aumentado a $ 40 mil millones; alcanzó un hito de $ 80 mil millones en abril de 2021; y ahora supera los $ 140 mil millones. Un crecimiento tan rápido en un nuevo mercado podría atraer la atención de todo tipo de piratas informáticos y estafadores.

Según un informe de la firma de investigación de criptografía, el sector DeFi ha perdido alrededor de $ 284,9 millones en hacks y otros ataques de explotación desde 2019. Desde la perspectiva de los piratas informáticos, los ataques a los ecosistemas blockchain son un activo ideal. Debido a que estos sistemas son anónimos, tienen dinero que perder y cualquier pirateo puede probarse y ajustarse sin el conocimiento de la víctima. En los primeros cuatro meses de 2021, las pérdidas totalizaron $ 240 millones. Y estos son solo los casos de conocimiento público. Estimamos las pérdidas reales en miles de millones de dólares.

Relacionada: Resumen de hacks, exploits y robos de criptomonedas en 2020

¿Cómo se roba el dinero de los registros DeFi? Analizamos varias docenas de ataques de piratas informáticos e identificamos los problemas más comunes que conducen a ataques de piratas informáticos.

Abuso de registros de terceros y errores de lógica empresarial

Todo ataque comienza principalmente con el análisis de la víctima. La tecnología Blockchain ofrece muchas posibilidades para el ajuste automático y la simulación de escenarios de piratería. Para que un ataque sea rápido e invisible, el atacante debe tener las habilidades de programación necesarias y el conocimiento de cómo funcionan los contratos inteligentes. El conjunto de herramientas típico de un pirata informático le permite descargar su propia copia completa de una cadena de bloques desde la versión principal de la red y luego ajustar completamente el proceso de un ataque como si la transacción tuviera lugar en una red real.

A continuación, el atacante debe examinar el modelo de negocio del proyecto y los servicios externos utilizados. Los errores en los modelos matemáticos de la lógica empresarial y los servicios de terceros son dos de los problemas más comunes en los que se ha infiltrado.

Los desarrolladores de contratos inteligentes a menudo necesitan datos más relevantes en el momento de una transacción de los que tienen en un momento dado. Por lo tanto, se ve obligado a utilizar servicios externos, por ejemplo, oráculos. Estos servicios no están diseñados para operar en un entorno confiable, por lo que su uso conlleva riesgos adicionales. Según las estadísticas de un año calendario (desde el verano de 2020), el tipo de riesgo respectivo representó el porcentaje más bajo de pérdidas: solo 10 hacks que resultaron en pérdidas por un total de alrededor de 50 millones de dólares estadounidenses.

Relacionada: La necesidad radical de actualizar los protocolos de seguridad de blockchain

Error de codificación

Los contratos inteligentes son un concepto relativamente nuevo en el mundo de las tecnologías de la información. Los lenguajes de programación para contratos inteligentes, a pesar de su simplicidad, requieren un paradigma de desarrollo completamente diferente. Los desarrolladores a menudo simplemente no tienen las habilidades de programación necesarias y cometen errores graves que conducen a inmensas pérdidas para el usuario.

Las auditorías de seguridad solo eliminan parte de este riesgo, ya que la mayoría de las firmas contables del mercado no son responsables de la calidad de su trabajo y solo están interesadas en el aspecto financiero. Más de 100 proyectos fueron pirateados debido a errores de codificación, lo que resultó en un volumen total de pérdidas de alrededor de $ 500 millones. Un ejemplo flagrante es el hack de dForce que tuvo lugar el 19 de abril de 2020. Los piratas informáticos utilizaron una vulnerabilidad en el token estándar ERC-777 en relación con un ataque de reentrada y se salieron con $ 25 millones.

Relacionada: La auditoría estándar para proyectos DeFi es imprescindible para que la industria crezca

Préstamos flash, manipulación de precios y ataques mineros

La información proporcionada al contrato inteligente solo es relevante en el momento en que se realiza una transacción. Por defecto, el contrato no es inmune a una posible manipulación externa de la información que contiene. Con esto es posible todo un espectro de ataques.

Los préstamos flash son préstamos sin garantía, pero implican la obligación de devolver la criptografía prestada dentro de la misma transacción. Si el prestatario no devuelve el dinero, la transacción se cancelará (revertirá). Dichos préstamos permiten al prestatario obtener grandes cantidades de criptomonedas y utilizarlas para sus propios fines. Por lo general, los ataques de préstamos urgentes implican manipulación de precios. Un atacante puede primero vender una gran cantidad de tokens prestados dentro de una transacción, reduciendo así su precio, y luego realizar una serie de acciones a un valor muy bajo del token antes de volver a comprarlos.

Un ataque de minero es un análogo de un ataque de préstamo flash en blockchains que funciona sobre la base del algoritmo de consenso de prueba de trabajo. Este tipo de ataque es más complejo y costoso, pero puede eludir algunas de las capas protectoras del crédito flash. Y así funciona: el atacante alquila capacidad minera y forma un bloque que solo contiene las transacciones que necesita. Dentro del bloque dado, primero puede pedir prestados tokens, manipular los precios y luego devolver los tokens prestados. Dado que el atacante forma las transacciones ingresadas en el bloque y su orden de forma independiente, el ataque es realmente atómico (ninguna otra transacción puede ser «pellizcada» en el ataque), como ocurre con los préstamos flash. Este tipo de ataque se utilizó para piratear más de 100 proyectos, con pérdidas totales de alrededor de mil millones de dólares.

El número medio de hacks ha aumentado con el tiempo. A principios de 2020, un robo generó cientos de miles de dólares. Al final del año, las cantidades habían aumentado a decenas de millones de dólares.

Relacionada: Los exploits de contratos inteligentes son más éticos que la piratería … ¿no es así?

Incompetencia del desarrollador

El tipo de riesgo más peligroso se relaciona con el error humano. Cuando se busca dinero rápido, la gente recurre a DeFi. Muchos desarrolladores están poco calificados, pero aún así intentan iniciar los proyectos rápidamente. Los contratos inteligentes son de código abierto y, por lo tanto, los piratas informáticos pueden copiarlos fácilmente y modificarlos a pequeña escala. Si el proyecto original contiene los primeros tres tipos de vulnerabilidades, se extenderán a cientos de proyectos clonados. RFI SafeMoon es un buen ejemplo, ya que contiene una vulnerabilidad crítica que se ha acumulado en más de cien proyectos con pérdidas potenciales de más de $ 2 mil millones.

Este artículo fue coautor de Vladislav Komissarov y Dmitry Mishunin.

Los puntos de vista, pensamientos y opiniones expresados ​​en este documento pertenecen únicamente a los autores y no reflejan necesariamente los puntos de vista y opiniones de Cointelegraph.

Vladislav Komissarov es el director de tecnología de BondAppetit, un protocolo de crédito DeFi con una moneda estable respaldada por activos reales con ingresos periódicos fijos. Tiene más de 17 años de experiencia en desarrollo web.

Dmitry Mishunin es el fundador y director de tecnología de HashEx. Más de 30 proyectos globales se están ejecutando en integraciones de blockchain desarrolladas por HashEx. Se examinaron más de 200 contratos inteligentes en 2017-2021.