El reciente hack de Resupply, que asciende a la asombrosa cifra de $9.6 millones, muestra algunas vulnerabilidades profundas dentro de los protocolos de finanzas descentralizadas (DeFi) del mercado de criptomonedas. Un par de problemas evidentes estaban presentes.
¿Qué tipo de error de contrato inteligente fue?
Una preocupación principal era un error de contrato inteligente. Los contratos inteligentes están diseñados para funcionar de manera autónoma, ejecutando contratos en función de términos codificados. Sin embargo, en este caso, el contrato ResupplyPair sucumbió a un error de codificación, permitiendo a un atacante manipular el precio de los tokens a su favor.
¿Qué problemas de control de acceso ocurrieron?
Luego, hubo problemas de control de acceso, donde permisos deficientes permitieron el control no autorizado sobre contratos inteligentes, resultando en acciones realizadas sin los permisos adecuados. Aquí, el atacante eludió las verificaciones destinadas a prevenir la insolvencia, lo que llevó a la explotación del tipo de cambio defectuoso.
¿Contribuyó la manipulación del oráculo de precios?
La manipulación del oráculo de precios es otra vulnerabilidad común. Los atacantes a menudo influyen en las fuentes de precios que los protocolos utilizan para determinar el valor de los activos, lo que puede llevar a operaciones y liquidaciones erróneas. En este caso, el atacante infló el precio del token cvcrvUSD a través de transacciones de donación. El sistema, engañado por esta inflación, permitió al hacker pedir prestada una enorme cantidad de fondos utilizando un colateral mínimo.
¿Cómo explotó el atacante Resupply?
El método de explotación fue simple. Al inflar el precio del token cvcrvUSD, el atacante engañó al contrato ResupplyPair para que calculara incorrectamente un tipo de cambio interno que se redondeaba a cero. Este error permitió al atacante tomar un enorme préstamo de la stablecoin nativa de Resupply, reUSD, contra solo 1 wei del token cvcrvUSD como colateral.
La manipulación se ejecutó a través de una serie de transacciones que inflaban el valor del token. La cadena de ataques eludió efectivamente las verificaciones de la plataforma destinadas a mantener el sistema solvente. Tales incidentes subrayan la necesidad de auditorías exhaustivas y controles de acceso sólidos para frenar estas vulnerabilidades.
¿El hacker utilizó anonimato en transacciones?
Otro aspecto notable fue el uso de anonimato en transacciones. El hacker canalizó sus fondos a través de Tornado Cash, un mezclador de privacidad descentralizado, que oscureció de dónde provenían sus fondos. Al usar Tornado Cash, el hacker logró ocultar su identidad y complicar cualquier posible rastreo de los activos robados.
El uso de herramientas de anonimato permite a los ladrones lavar los fondos robados, liberándolos de cualquier mancha del crimen. El hacker vendió los activos robados cambiando reUSD por stablecoins y Ethereum a través de intercambios descentralizados como Curve y Uniswap, dificultando aún más el rastreo.
¿Se pueden prevenir tales hacks en el futuro?
Para evitar futuros hacks como el de Resupply, es primordial un enfoque de seguridad multifacético. Aquí hay algunas estrategias que vale la pena considerar.
Auditorías de contratos inteligentes
Las auditorías regulares son cruciales. Revisar a fondo los contratos inteligentes por firmas externas expertas para identificar cualquier debilidad antes de su implementación. Tener un programa de recompensas por errores puede incentivar a la comunidad a informar sobre errores temprano.
Medidas de control de acceso
Implementar controles de acceso robustos es esencial. Un acceso adecuado basado en roles puede frustrar el control no autorizado sobre funciones críticas.
Seguridad del oráculo de precios
Utilizar sistemas de oráculos descentralizados mejorados que recopilan datos de varias fuentes podría ayudar a evitar que la manipulación de precios tenga éxito. La vigilancia de comportamientos inusuales también es clave.
Educación de usuarios
Educar a los usuarios sobre prácticas seguras para billeteras, reconocer intentos de phishing y asegurar claves privadas es importante. Promover el uso de claves de seguridad de hardware para prevenir el robo de credenciales también es vital.
Cumplimiento regulatorio
Cumplir con las leyes locales y construir marcos de cumplimiento mitiga los riesgos de crimen financiero y mejora la transparencia. El cumplimiento también cultiva confianza con los usuarios e inversores.
¿Cómo asegurar sus transacciones en cripto?
Si las empresas quieren aceptar pagos en cripto, la seguridad es innegociable. Aquí hay algunas mejores prácticas.
Prácticas bancarias seguras
Las empresas deben adoptar un sistema bancario seguro para transacciones en cripto. Usar cuentas comerciales en cripto puede proporcionar características de seguridad mejoradas.
Tarifas de transacción
Rastrear las tarifas de transacción puede ayudar a gestionar los costos asociados con las transferencias en cripto. Entender la dinámica del banco de divisas y los intercambios digitales es esencial.
Tecnologías de ciberseguridad
Emplear tecnologías avanzadas de ciberseguridad puede fortalecer la detección de hacks sofisticados.
Preparación para cambios regulatorios
Mantenerse informado sobre las regulaciones en evolución asegura que las empresas puedan adaptar la gobernanza y las prácticas operativas según sea necesario.
Transparencia
Finalmente, ser abierto con los interesados sobre las medidas de seguridad ayuda a construir confianza y confianza con los clientes e inversores.
Al tomar estas precauciones, las empresas pueden mejorar significativamente sus defensas contra hacks DeFi y asegurar sus transacciones en el mundo de criptomonedas en rápida evolución.
