El hacker detrás del reciente robo de USD 25 millones de la plataforma DeFi Lendf.me ha filtrado importantes datos sobre él, y ya está haciendo señas de paz.
Antilavadodedinero / Cointelegraph.com
El mundo de las finanzas descentralizadas (DeFi) sufrió otro incidente el 19 de abril cuando la plataforma de préstamos china Lendf.me, que forma parte de la red dForce, se quedó sin casi todos sus fondos.
El hacker es diferente de otros, según lo que se ve; parece estar negociando con los fundadores del protocolo.
Como informó Cointelegraph ayer, el ataque ocurrió a las 8:45 AM hora china el 19 de abril, lo que corresponde a las 8:45 PM hora del este el 18 de abril. El atacante aprovechó una conocida vulnerabilidad en el estándar ampliado de tokens ERC-777 llamado ataque de reentrada.
¿Cómo funcionó el hackeo?
El hacker usó el token imBTC como el caballo de Troya del ataque. Es uno de los muchos envoltorios Ethereum (ETH) para Bitcoin (BTC), que fue escrito de acuerdo con la especificación ERC-777. Se considera una versión más avanzada, pero también más vulnerable, del estándar común ERC-20, especialmente cuando se utiliza en un contexto de DeFi.
El hackeo se aprovechó de esto combinándolo con un fallo crucial en los contratos de Lendf.me y en cómo actualizaban el balance del usuario.
Como un analista con el seudónimo de Frank Topbottom explicó en Twitter, el hacker ejecutó muchas iteraciones de un simple ataque.
En cada transacción, el hacker depositó imBTC en la plataforma de Lendf.me, que se registró en el saldo de su cuenta. Un segundo depósito de la misma transacción añadiría una cantidad minúscula de imBTC, lo que permitiría utilizar un “reingreso” para retirar los tokens depositados previamente.
Crucialmente, el contrato no actualizó el balance del hacker al retirar el dinero. Por lo tanto, era libre de depositar el BTC de nuevo, duplicando su saldo cada vez.
Finalmente, el hacker desvió casi la totalidad del imBTC presente en la plataforma, que ascendía a unos 291 imBTC (USD 2 millones), según el analista.
Luego continuó realizando el mismo ataque, que en este punto simplemente infló su saldo hasta que su valor cubrió la totalidad de los fondos que tenía el protocolo.
Finalmente, usó el saldo falso como garantía para pedir prestado casi todos los tokens disponibles en la plataforma de Lendf.me, llevándose unos USD 25 millones en varias criptommonedas y stablecoins.
Ya han atrapado parcialmente al hacker
Poco después del ataque, se produjo un interesante intercambio de mensajes en cadena.
El hacker envió tres transacciones de tokens PAX que sumaban USD 250,000 a 1inch.exchange, ParaSwap y una cuenta identificada como “Lendf.me admin.” Es muy probable que sea un gesto simbólico, ya que pax significa “paz” en latín.
Lendf.me respondió con una dirección de correo electrónico para contactar y luego indicó que había respondido a la pregunta del hacker. Más tarde le devolvió a Lendf.me los activos emitidos por Huobi, por valor de unos USD 2.6 millones.
Lendf.me finalmente envió un mensaje con un tono ligeramente amenazador, diciendo “Contáctanos, para tu mejor futuro”.
Un portavoz de 1inch.exchange -un agregador de exchange descentralizado que el hacker utilizó para intercambiar algunos de los fondos- le explicó a Cointelegraph que el ciberdelincuente filtró metadatos importantes sobre sí mismo utilizando directamente su red de entrega de contenidos basada en la web, en lugar del frontend basado en IPFS.
Específicamente, las tres solicitudes de exchange vinieron de una sola dirección IP china, lo que sugiere que el hacker no usó una red descentralizada como Tor. Los portavoces del exchange teorizaron que se trata de una VPN o un servidor proxy, que puede estar sujeto a citaciones.
El hacker también es conocido por haber estado usando un Mac, revelando la resolución de su pantalla y el lenguaje del sistema, que estaba configurado como “en-us”.
Cabe señalar que estos datos son triviales de ofuscar, pero la gran cantidad de detalles poco comunes en estos metadatos sugiere a 1 pulgada que fue simplemente un descuido. Concluyeron:
“Parece ser un buen programador, pero un hacker sin experiencia.”
Como las investigaciones policiales ya están en marcha, según 1inch, parece probable que el hacker se vea obligado a devolver el dinero con la esperanza de recibir un trato indulgente.
