La plataforma Lendf.me, parte de dForce, sufrió el ataque por parte de un pirata informático el cual consiguió sustraer casi todos sus fondos. Este hacker utilizó un su favor la posibilidad de poder utilizar un token, en parte vulnerable, y un fallo de seguridad en Lendf.me. Utilizando esta artimaña el hacker pudo sustraer 25 millones de dolares. Pero en un giro inesperado de los acontecimientos el usuario ayer comenzó devolviendo 2,79 millones de dólares y hoy los restantes 22 millones.
Como se realizó el ataque
El ataque a Lendf.me, la plataforma de prestamos descentralizados de dForce, se realizó el pasado día 19 de abril. Un hacker, en ese momento anónimo, utilizó el token imBTC como camuflaje debido a usar el protocolo ERC-777. La posibilidad de utilizar este token dentro de una plataforma DeFi da lugar a riesgo debido que el protocolo ERC-777 es considerablemente más avanzado y vulnerable que es conocido ERC-20.
El hacker combinó la vulnerabilidad del token con un fallo de seguridad en los contratos que la web utiliza para realizar sus intercambios y la forma que la página utiliza para actualizar el saldo de sus usuarios. Por lo visto el procedimiento es relativamente sencillo y se ejecutó repetidas veces.
El hacker introducía una cantidad considerable de imBTC en la plataforma, en un primer deposito. Tras este deposito realizaba un segundo con una cantidad ínfima de imBTC, utilizando este proceso el usuario podría retirar los fondos anteriormente introducidos. En el momento de realizar esta retirada el proceso daba un error y el saldo del usuario se quedaba intacto, es decir el hacker recuperaba sus fondos a su cartera, pero seguía contando con estos dentro de la página.
Finalmente el hacker retiró todos los tokens de imBTC de la plataforma, por el valor de unos 2 millones de dólares. El hacker continuó realizando esta artimaña hasta que consiguió el saldo para sustraer todos los activos de la plataforma, unos 25 millones de dólares.
El descuido del hacker
Parece el taque perfecto, pero pocas horas después el hacker realizó tres transacciones por un coste total de 250.000 dólares. Estas operaciones se dirigieron a direcciones registradas y pertenecen a: ParaSwap, 1inch.exchange y Lendf.me admin. Otro dato relevante es que la moneda en el que se realizaron las transacciones fue el token PAX. Esta es una moneda emitida en la blockchain de Ethereum con estándar ERC-20 y estable, en principio estos datos no son muy relevantes, pero la traducción de la palabra latina «Pax» significa «paz», por lo que todo apuntaba que el hacker quisiera dar a entender algo.
La filial de dForce respondí a la insinuación del hacker facilitando un corre de contacto, poco después la propia entidad confirmo que la hacker había contactado. Tras esto el hacker, ya en apuros, devolvió un total de 2,6 millones de dólares en activos, esto pareció enfurecer más a Lendf.me que emitió un mensaje: «Contáctenos para su futuro mejor.»
Utilizó 1inch.exchange para realizar algunos intercambios, 3 solicitudes las cuales fueron realizadas desde la misma IP sin utilizar protección como una interfaz basada en IPFS. El hacker utilizó ningún barrera para camuflar su dirección IP y por esto datos cruciales sobre su identidad fueron revelados.
El día de hoy el hacker ha devuelto la cantidad de 22 millones de dólares, todos los activos restantes que poseía. La presión de la policía de Singapur ha hecho que el intercambiador 1inch.exchange les facilite la dirección IP del supuesto hacker. Por lo visto el exchange ya estaba trabajando con dForce de alguna manera pero la policía intervino de forma tajante exigiendo los datos del sujeto. 1inch.exchange ha declarado que no suele reveler los datos de sus usuarios pero en este caso la presión policial ha sido un factor determinante.
Los fondos devueltos alcanza los 24,6 millones de dólares, una cifra un tanto inferior a la sustraída debido a la caída de algunos activos. No ha quedado claro todavía si el hacker tendrá que devolver también el valor de los activos que han disminuido su precio.
Seguir leyendo acerca de la falsa aplicación difundida por un hacker para detectar el COVID-19 puede que se de tu agrado
