Un ataque de préstamo flash en la blockchain de Avalanche, según la firma de ciberseguridad de blockchain CertiK, resultó en el robo de 370.000 dólares en USDC de un contrato inteligente y otros proveedores de liquidez.
Se cree que DEX Trader Joe, la plataforma de staking Nereus Finance y AMM Curve Finance se vieron afectados. Durante la noche, un asalto de préstamos flash en la blockchain de Avalanche permitió al hacker extraer unos 370.000 USDC.
El ataque se llevó a cabo a través de un contrato inteligente que comenzaba con el código «0xe767c», y tuvo lugar el martes a las 3:26 p.m. ET, según los datos de Skynet, el software de seguridad en la cadena de la empresa de seguridad de blockchain CertiK, que también detecta movimientos inusuales en los contratos inteligentes. Al igual que con muchos otros ataques de préstamos flash, el hacker fue indetectable.
La compañía declaró en un tuit que cree que su Exchange descentralizado Trader Joe, la plataforma de apuestas Nereus Finance y el creador de mercado automatizado Curve Finance han sido interrumpidos.
En un exploit de préstamo flash, un actor malicioso suele obtener fondos sin garantía de un protocolo de préstamo y manipula el precio de un activo para aumentar su valor. Se trata de un abuso de la seguridad de los contratos inteligentes.
En lugar de un incidente de hacking, los asaltos de préstamos flash utilizan una laguna en los contratos inteligentes para manipular los precios. Los atacantes roban un préstamo no garantizado de un protocolo de préstamo, lo modifican y luego aumentan el precio. Tras estos rápidos movimientos, el agresor de estos «préstamos de quiebra» vende los activos prestados y liquida la obligación. Tiene el dinero extra en su bolsillo.
Ava Labs- un contrato inteligente de primer nivel
Ava Labs, la empresa con sede en Singapur que desarrolló la blockchain Avalanche, ha tenido problemas últimamente, en parte por lo que declaró un abogado en un vídeo encubierto. La plataforma de contratos inteligentes Layer-1 ha sido muy conocida en los últimos años tras colarse entre las 20 principales criptomonedas en términos de tamaño de mercado.
La red Avalanche, que funciona con Ethereum, cuenta con un ecosistema de aplicaciones descentralizadas, así como con iniciativas de staking gracias a su mecanismo de consenso proof-of-stake.
Debido a la naturaleza de un préstamo flash, después de que el atacante haya arbitrado con éxito el activo, vende de nuevo los fondos prestados en la misma transacción y se queda con el beneficio.
En el momento de la publicación, Blockworks se había puesto en contacto con CertiK y Avalanche, pero no había recibido respuesta. Como es típico en la mayoría de los casos en los que se utilizan ataques de préstamos flash, la identidad del atacante aún no está clara.
Los atacantes de los préstamos flash aún no han sido identificados
Entre los anteriores robos de criptomonedas de alto perfil con préstamos flash se incluye el tercero más grande de 2022, en el que la dapp DeFi Beanstalk perdió 182 millones de dólares. La identidad del atacante sigue siendo un misterio, como es habitual en la mayoría de las situaciones de ataques con préstamos flash.
Además, C.R.E.A.M. Finance sufrió múltiples ataques en 2021. Uno de los mayores robos fue de 130 millones de dólares. Los culpables robaron tokens de liquidez de CREAM, que ascendieron a millones de dólares durante un tiempo no revelado. Todas las pérdidas son visibles en la cadena, y los culpables aún no han sido capturados.
