Tres de los cuatro hackeos recientes de DeFi han visto devueltos sus fondos por recompensas en una nueva tendencia. Sentiments, el protocolo DeFi en la red de capa 2 Arbitrum, es la última plataforma DeFi que ha recuperado sus fondos tras ser explotada por un millón de dólares el martes 4 de abril.

El jueves 6 de abril, el Twitter oficial de Sentiment anunció que las negociaciones con el hacker habían tenido éxito y que ahora devolvería el 90% de los fondos robados. La noticia llegó después de que Sentiment ofreciera una recompensa de 95.000 dólares al hacker o a cualquiera que ayudara a encontrar al hacker.

After successful negotiations with the exploiter, 90% of hacked funds have been returned as agreed. A full statement will follow in the coming hours.

— Sentiment (@sentimentxyz) April 6, 2023

El hackeo a Sentiment y Negociaciones

El 5 de abril, el equipo de Sentiment observó cierta actividad de préstamo anormal en torno a las 18:00 UTC del 4 de abril e inmediatamente puso en pausa el contrato principal para evitar mayores pérdidas.

1/4

A status update on the current situation: At approximately 06:00:00 PM +UTC The Sentiment team became aware of abnormal borrowing activity which has now been declared as a malicious exploit.

— Sentiment (@sentimentxyz) April 5, 2023

Según la empresa de seguridad de blockchain PeckShield,el atacante explotó un fallo de reentrada de solo lectura en Balancer, un protocolo de liquidez con el que se integra Sentiment, para manipular los saldos del pool y sobrecolateralizar sus préstamos financieros en el protocolo. A continuación, utilizó préstamos flash para tomar prestadas y liquidar grandes cantidades de tokens de la plataforma DeFi explotada, embolsándose casi un millón de dólares.

El equipo parcheó rápidamente la vulnerabilidad gracias a las buenas manos de servicios de terceros. Una vez completadas las medidas iniciales, el equipo intentó ponerse en contacto con el hacker para negociar.

Sentiment ofreció una recompensa de 95 mil dolares al hacker y ningún seguimiento de este incidente. En un mensaje al hacker, el protocolo escribió:

«Para el hacker: Le ofreceremos $95k y no perseguiremos esto, si devuelve el dinero antes de las 8 am UTC del 6 de abril. A todos los demás: si el hacker no ha devuelto los fondos a la hora mencionada, daremos a cualquier persona esos mismos $95k si nos ayuda a encontrar y perseguir al responsable de este robo.»

A primera hora del jueves 6 de abril, el equipo de Sentiment anunció que las negociaciones habían tenido éxito y que el hacker había devuelto el 90% de los fondos. El equipo escribió:

«Después de exitosas negociaciones con el hacker, el 90% de los fondos hackeados han sido devueltos según lo acordado. En las próximas horas se emitirá un comunicado completo».

PechShield confirmó que el hacker había devuelto la mayor parte de los fondos a los monederos controlados por el equipo de Sentiment. Aún no se conocen la naturaleza y los detalles de los tokens implicados en este incidente. El próximo comunicado podría desvelar esta información.

It seems @sentimentxyz exploiter has returned the majority of stolen funds. Currently the returned funds are managed with a 2-3 multisig, presumably controlled by the team: https://t.co/bwmLf9zgMV pic.twitter.com/rp8HLodLzj

— PeckShield Inc. (@peckshield) April 5, 2023

Los hackeos se han convertido en una norma en el espacio DeFi. Sin embargo, esta semana ha sido especial ya que en tres de ellos se han devuelto fondos por recompensas. Euler Finance ha recuperado recientemente 197 millones de dólares robados en el ataque del 13 de marzo. En la misma línea, el puente cross-chain DeFi Allbridge también ha podido recuperar 1.500 BNB o aproximadamente 465.000 dólares del botín de 570.000 dólares.