Ciberseguridad: Roban más de 70 millones de euros a la plataforma de 'stablecoin' Beanstalk Farms en 13 segundos

Las últimas noticias sobre tecnología con COPE Internet, redes sociales, móviles, gadgets, software, seguridad.

Un ciberdelincuente ha robado 76 millones de dólares (70,3 millones de euros al cambio actual) al protocolo de 'stablecoin' descentralizado (DeFi) basado en crédito, Beanstalk Farms, a través de un préstamo flash y en apenas 13 segundos.

El ataque a Beanstalk Farms ha sido avistado por PeckShield en Twitter. Posteriormente, la cuenta oficial de Beanstalk Farms lo ha confirmado, e incluso ha explicado que el atacante usó "un préstamo rápido para explotar el mecanismo de gobierno del protocolo y enviar los fondos a una billetera que controlaba".

Un préstamo flash permite a los usuarios pedir prestadas grandes sumas de criptomonedas por periodos muy cortos de tiempo y debe ser reembolsado antes de finalizar la transacción. Se ofrecen mediante protocolos de finanzas descentralizadas (DeFi) basados en Ethereum, y su principal propósito es proporcionar liquidez o aprovechar la arbitrariedad de los precios en un momento determinado.

La operación que ha afectado a Beanstalk Farms ha sido posible gracias a un préstamo flash obtenido a través del protocolo descentralizado Aave de cerca de 1.000 millones de dólares (926,4 millones de euros) en activos, según el análisis de la firma de seguridad de la blockchain CertiK, del que se hace eco el medio especializado estadounidense The Verge.

Hi, @BeanstalkFarms, you may want to take a look: https://t.co/wyHe3ARZgU ? PeckShield Inc. (@peckshield) April 17, 2022

Hi, @BeanstalkFarms, you may want to take a look: https://t.co/wyHe3ARZgU

Los fondos prestados al atacante se intercambiaron por 'judías', que son las recompensas que reciben los usuarios por contribuir con activos a un gran fondo de financiación que es utilizado para equilibrar el valor de un token, conocido como 'judía'.

El ataque se ha aprovechado de un 'exploit' en el mecanismo de gobernanza presente en Beanstalk y otros muchos proyectos DeFi. Por él, los participantes pueden votar para cambiar el código de la plataforma y reciben derechos de voto en proporción al valor de los tokens que tienen.

Beanstalk suffered an exploit today. The Beanstalk Farms team is investigating the attack and will make an announcement to the community as soon as possible.

El atacante ha utilizado las 'judías' ganadas con su intercambio para tener un 67 por ciento de los votos de Beanstalk Farms y así aprobar la ejecución del código que ha transferido los activos por valor de 76 millones de dólares (70,3 millones de euros) a su propia cartera, según ha reconocido la propia compañía en un comunicado. En total, la operación se ha realizado en 13 segundos.

En un primer momento, medios como The Verge han hablado de que el atacante logró robar 182 millones de dólares (168,4 millones de euros), que se quedaron en 80 millones de dólares netos (74,04 millones de euros) tras devolver el préstamo flash, según las estimaciones de PeckShield.

La nueva hoja de ruta de Beanstalk pasa por asegurar la sostenibilidad del modelo económico y atraer el suficiente capital para recuperarse, además de retener a sus usuarios actuales, explica la plataforma.

Beanstalk ha tratado de recuperar buena parte de los fondos robados con una oferta al atacante publicada en su perfil de Twitter. Si devuelve el 90 por ciento de los fondos robados a una cartera de la plataforma, se le entregará el 10 por ciento restante en calidad de recompensa 'Whitehat', acuerdo que ofrecen muchas organizaciones, páginas web y desarrolladores a los individuos que reportan fallos y vulnerabilidades en su plataforma.

Muchos usuarios de Beanstalk Farms afirman en el servidor de Discord de la plataforma haber perdido decenas de miles de dólares tras el ataque. Desde entonces, el atacante ha estado moviendo los fondos robados a través de Tornado Cash, un servicio de transacciones enfocado en la privacidad que mezcla unos depósitos con otros para ser retirados por una nueva dirección, según The Verge.

If you will return 90% of the withdrawn funds to the Beanstalk Farms multi–sig wallet 0x21DE18B6A8f78eDe6D16C50A167f6B222DC08DF7, Beanstalk will treat the remaining 10% as a Whitehat bounty properly payable to you.

Puedes leer nuestra sección de tecnología para leer más noticias de tu sección favorita.

Además, si aún no recibes las alertas de noticias de última hora en tu móvil y quieres conocer la información antes que nadie, puedes bajarte la aplicación de COPE para iOS (iPhone) y Android. Toda la información actualizada de forma constante en la web del diario, así como en las redes sociales del mismo: Facebook, Twitter e Instagram.