Value DeFi pierde 6 millones de dólares por „Flash-Loan-Exploit“

Value DeFi pierde 6 millones de dólares por „Flash-Loan-Exploit“

El proyecto Value DeFi ha sido víctima del llamado „Flash-Loan-Exploit“, que causó un daño de casi 6 millones de dólares estadounidenses.

El atacante en cuestión utilizó dos „Flash Loans“ de otros proyectos de DeFi para explotar las diferencias en el tipo de cambio del valor del DeFi en su propio beneficio. En otras palabras, encontró una „brecha en el sistema“ y la explotó.

Para explicarlo: los préstamos flash son préstamos criptográficos que se aprueban sin que el prestatario tenga que depositar una garantía correspondiente. Esto es posible porque los respectivos préstamos Bitcoin Up son literalmente „flash“ de vuelta, ya que tienen que ser devueltos dentro de la misma transacción de la cadena de bloques.

A las 10:45 a.m. (EST) del viernes, un usuario de criptografía había recibido un préstamo de 80.000 ETH (más de 36 millones de dólares) del proyecto Aave. El desarrollador de Aave, Emilio Frangella, notó esta inusual ocurrencia y la señaló en Twitter en consecuencia:

80.000 eth flashloan en @AaveAave https://t.co/ngnHIoNKpi
– Emilio Frangella (@The3D_) 14 de noviembre de 2020

Emiliano Bonassi, un autoproclamado hacker de sombrero blanco y cofundador de DeFi Italia, informó posteriormente de que el atacante también había retirado un préstamo flash en forma de DAI de Stablecoin del proyecto Uniswap de DeFi, que a su vez tenía un valor de 116 millones de dólares.

Como también señaló Bonassi, el atacante cambió el ETH prestado de Aave por fondos de stablecoin, luego depositó parte del DAI recibido de Uniswap en la bóveda multiestabla de Value DeFi, y luego realizó varios intercambios entre los stablecoins de USDT, USDC y DAI con el fin de „explotar“ las diferencias en los tipos de cambio dentro de Value DeFi.

Esta es la hazaña más compleja que he visto. Utilizó 2 FLASHLOANS, uno con @AaveAave (80k ETH) y otro utilizando flashswap con @UniswapProtocol (116M DAI).

En la imagen los pasos! pic.twitter.com/nTm2SEgsur
– Emiliano Bonassi | emiliano.eth (@emilianobonassi) 14 de noviembre de 2020

En una entrevista con Cointelegraph, Bonassi explica que el ataque fue similar en concepto al reciente ataque al proyecto DeFi Harvest Finance, pero que el ataque al Value DeFi es la hazaña más compleja que ha visto hasta ahora. Además, habría sido „la primera vez“ que un atacante hubiera usado dos Flash Loans simultáneamente.

Un poco más tarde, Value DeFi admitió el ataque en el propio servidor de discordia de la compañía:

„Estamos al tanto de las operaciones actuales en la Bóveda de Multi-Establecimientos. Por favor, danos algo de tiempo para que podamos revisarlo a fondo. Todas las demás bóvedas y piscinas están funcionando normalmente“.

Poco después de que la hazaña terminara, el atacante envió una transacción de Ethereum a Value DeFi, burlándose de los operadores del proyecto. Así que preguntó sarcásticamente:

„¿Sabes lo que son los Préstamos Flash?“

El atacante pagó sólo 0,31 dólares americanos en ETH con su transacción, lo que es una prueba más de que el mensaje era una mera burla.