Los detalles del hack de dForce llevaron a muchos en la comunidad de DeFi a cuestionar las prácticas de seguridad de la empresa, que muchos creen que ha clonado el código de Compound.
Antilavadodedinero / Cointelegraph.com
El hacker que robó USD 25 millones en criptomonedas el 19 de abril del protocolo de finanzas descentralizadas, o DeFi, dForce, ha devuelto el dinero. La mayoría de los signos indican que esto se debió a que el hacker filtró accidentalmente datos que podrían haber llevado a que se descubriera su identidad. dForce no ha emitido ninguna declaración aclaratoria, a pesar de las crecientes críticas a sus prácticas de seguridad.
Los datos de Etherscan muestran que el 21 de abril, el hacker vació todos los tokens obtenidos del hack en una dirección identificada como “Lendf.me admin”. Lendf.me es el nombre de la parte de plataforma específica de la red dForce.
Mindao Yang, el fundador de dForce, confirmó que los fondos fueron devueltos y que serán redistribuidos a sus legítimos propietarios.
Pero mientras parece un final feliz para las víctimas del ataque, muchos miembros de la comunidad están alzando la voz para criticar el proyecto.
Un clon de otra plataforma
En la comunidad DeFi, muchos consideran que dForce es un clon de otra plataforma más conocida llamada Compound.
Anthony Sassano, cofundador de Ethhub, publicó un irónico tuit después de los eventos:
“Ahora que el hacker ha devuelto los fondos a dForce, es hora de que dForce devuelva el código a Compound”.
Taylor Monahan, CEO de la empresa de billeteras Ethereum, mycrypto.com, le contó a Cointelegraph una historia similar:
“DForce aparentemente es un clon bastante básico de los contratos más antiguos de Compound, excepto que permitieron algunos tokens que Compound no”.
Las críticas de Brian Kerr, CEO del proyecto multiplataforma DeFi, Kava Labs, fueron incluso más duras:
“El equipo de dForce copió el código que Compound no entendía, lo implementó ilegalmente como propio mientras cambiaba algunas partes sin darse cuenta de los problemas de seguridad, y luego lo comercializaron en gran medida en el mundo sin ejecutar primero auditorías muy básicas”.
Como explicó Monahan, dForce habilitó el estándar de token ERC-777 que permitió que ocurriera el “ataque de reentrada”. Ella enfatizó que es una característica, no un bug del estándar. “Sin embargo, si se usa en ciertos sistemas, se convierte en bug en ese sistema”, agregó.
Un problema bien conocido
El ataque de reentrada no es nuevo. Un problema similar llevó al infame hack de DAO en 2016.
En julio de 2019, este problema también se identificó en el exchange descentralizado de Uniswap. Monahan dijo que esta “característica/error fue explotado dos días antes en otro sistema”. Esto se refería al propio Uniswap que, en realidad, sufrió una pérdida de USD 300,000 el día anterior, el 18 de abril. El culpable era el mismo token imBTC responsable del hack de dForce. Fue agregado por miembros de la comunidad Uniswap, a pesar de las advertencias en sentido contrario.
La combinación de estos factores llevó a un juicio sumario de Monahan:
“Las formas en que todo esto indica que dForce es incompetente son que 1) no escribieron su propio código, sino que reutilizaron el de otra persona de una manera prohibida por la licencia de ese código y 2) no pudieron abordar un problema que salió a la luz una vez más en los últimos días”.
Kerr era más sincero:
“Por lo general, no me gusta decir cosas malas sobre los demás, los ataques pueden sucederle a cualquier equipo, pero el incidente de dForce es particularmente malo. La culpa es tanto del equipo de dForce como de los usuarios. dforce no entendió lo que estaban haciendo y comercializó un producto inseguro. Los usuarios no hicieron su propia diligencia debida sobre el equipo o la base del código para asegurarse de que sea seguro”.
dForce está tratando de rectificar estos problemas. Yang asumió la responsabilidad personal por no prever el hack, y la compañía está deshabilitando por completo los contratos inteligentes vulnerables.
Si bien la compañía aún no ha proporcionado su propia versión oficial de la historia, parece que sus usuarios tuvieron suerte en su desgracia: el hacker no sabía cómo cubrir sus huellas.
El evento fue brevemente el mayor hack de DeFi en su corta historia. Dada su simplicidad, muestra que las prácticas de seguridad utilizadas por el espacio aún necesitan madurar.
