Los hackers roban $ 25 millones en criptomonedas de Uniswap y Lendf.me


screenshot-2019-12-04-at-15-39-09.png

Los hackers han robado más de $ 25 millones en criptomonedas del intercambio Uniswap y la plataforma de préstamos Lendf.me.

Los ataques tuvieron lugar durante el fin de semana, el sábado y el domingo, respectivamente. Aunque actualmente se está llevando a cabo una investigación, se cree que los dos ataques están relacionados, y lo más probable es que los lleve a cabo el mismo grupo o individuo.

Según los investigadores, los piratas informáticos parecen haber encadenado errores y características legítimas de diferentes tecnologías blockchain para organizar un sofisticado «ataque de reentrada».

Los ataques de reentrada permiten a los piratas informáticos retirar fondos repetidamente, en un bucle, antes de que se apruebe o rechace la transacción unique.

Las similitudes entre Uniswap y Lendf.me es que ambas plataformas estaban usando:

  • Protocolo Lendf.me – un protocolo de finanzas descentralizadas (DeFi) desarrollado por la Fundación dForce para respaldar las operaciones de préstamo en la plataforma Ethereum.
  • imBTC – un token (moneda) que se ejecuta en la plataforma Ethereum y se valora a una tasa 1: 1 con la criptomoneda Bitcoin.
  • ERC-777 – Una de las tecnologías subyacentes de la cadena de bloques Ethereum destinada a admitir contratos inteligentes (tanto Lendf.me como imBTC se ejecutan como contratos inteligentes en la plataforma Ethereum).

«El estándar de token ERC-777 no tiene, hasta donde sabemos, ninguna vulnerabilidad de seguridad», dijo Tokenlon, la compañía detrás de imBTC.

«Sin embargo, la combinación de usar tokens ERC777 y contratos Uniswap / Lendf.Me permite (…) ataques de reentrada», escribió la compañía en un informe article mortem de los ataques Uniswap y Lendf.me.

La compañía cree que los hackers usaron un exploit publicado en julio de 2019 en GitHub por OpenZeppelin, una compañía que realiza auditorías de seguridad para plataformas de criptomonedas.

Al momento de escribir este artículo, se cree que Uniswap perdió entre $ 300,000 y $ 1.1 millones en fondos, mientras que Lendf.me perdió más de $ 24.5 millones.

Los piratas informáticos utilizaron el ataque de reentrada para desviar fondos de cada plataforma a su billetera y luego transferirlos inmediatamente a otras cuentas.

Ambos sitios net han sido eliminados para evitar nuevos ataques. Tokenlon también ha suspendido su token imBTC y está bloqueando todas las transacciones nuevas para evitar que los hackers realicen nuevos ataques contra otras plataformas.

dforce.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/04/19/6b0e43bd-8a4b-436c-bdf0-ec9b31016cbd/dforce.png



Enlace a la noticia first