10,8 millones de la stablecoin Binance USD (BUSD) fueron robados el 16 de mayo, del protocolo de finanzas descentralizadas (DeFi) bEarn, desarrollado sobre la Binance Smart Chain.
Antilavadodedinero / criptonoticias
El atacante, según informaron los responsables del desarrollo de bEarn, aprovechó un error de código en la bóveda de liquidez BUSD–Alpaca, que le permitió retirar más BUSD del que le correspondía.
Su estrategia consistió pedir un préstamo relámpago (flash loan) en la plataforma Cream, por 7,8 millones de BUSD. Este dinero fue depositado y retirado (con un excedente) en la bóveda de bEarn, para luego pagar el préstamo a Cream, todo dentro de la misma transacción. El procedimiento fue efectuado, en total, 26 veces.
Tras percatarse de lo ocurrido, el equipo de desarrolladores de bEarn hizo una pausa inmediata en todas las operaciones de la plataforma con el fin de evaluar el incidente. Además, se reportó el hecho a las autoridades de Binance con la esperanza de que estas «bloqueen las transferencias de fondos de los hackers». Hasta el momento, no se conoce de ningún caso en el que transacciones en la Binance Smart Chain hayan sido bloqueadas.
También se contactaron con las empresas auditoras Certik y Peckshield para que analicen el incidente y les brinden comentarios para incrementar sus medidas de seguridad.
bEarn: «los damnificados podrán recuperar sus fondos»
Según bEarn, los usuarios damnificados podrán recuperar sus fondos, para lo cual hicieron un snapshot del saldo que tenía cada dirección en el momento previo al ataque. «Se está trabajando en los detalles del plan de compensación», asegura el comunicado y se promete que «los usuarios recibirán un 5% adicional del monto depositado».
«Debemos decir que lamentamos profundamente este incidente y cualquier pérdida económica que hayan sufrido los miembros de nuestra comunidad», escribió el equipo de bEarn, junto con el detalle del incidente y la información sobre el plan de compensación. Además, agradecieron a los usuarios del protocolo DeFi «por su comprensión y el apoyo mostrado al ecosistema a través de cada bache en el camino».
Otro de los productos ofrecidos por bEarn es la stablecoin algorítmica bDollar (BDO) que, teóricamente, debe mantener paridad con el dólar estadounidense. Lejos de esto, tras conocerse el ataque, la presión de venta hizo que su precio pasara de USD 0,27 a USD 0,22 en pocos minutos.
Hackers aprovechan los flash loans de la Binance Smart Chain
No es la primera vez que una plataforma DeFi de la blockchain de Binance ve vulnerada su seguridad, mediante el empleo de préstamos relámpagos. Hace 2 semanas, CriptoNoticias reportó el caso de Spartan, plataforma que sufrió el robo de USD 30 millones.
La reciente llegada de los flash loans a la Binance Smart Chain parece haberla convertido en blanco fácil para los hackers, que, durante todo el 2020, aprovecharon esta herramienta para drenar la liquidez de numerosos protocolos desarrollados sobre Ethereum.
Vale aclarar que no son los préstamos relámpagos per se los que posibilitan el ataque, sino las vulnerabilidades de seguridad en las distintas plataformas.
Este tipo de préstamos, que son tomados y pagados en una misma transacción, pueden ser útiles para inversionistas. Por ejemplo, de acuerdo con Pablo Candela, gestor de comunicaciones de Aave, «al pedir un préstamo para una acción puntual, los clientes pueden reducir costes y obtener beneficios monetarios sin necesidad de requerir un colateral». Explica, además, que esto hace posible «refinanciar préstamos a intereses más bajos».