Recientemente, la cadena BNB se convirtió en el escenario de un ataque que puso de manifiesto estas preocupaciones. Un atacante, haciendo uso de un préstamo flash, logró convertir apenas $4.16 en una cifra impresionante de $1.27 millones. Este suceso marcó el mayor beneficio de arbitraje individual en la historia de BNB Chain.

El ataque tuvo lugar el 11 de octubre en el par de trading Pancakeswap BH/USDT. El perpetrador, identificado como «MEV Bot: 0x21…480C», ejecutó un audaz ataque de préstamo flash por un monto de $1.27 millones.

$BH token on BNB Chain was exploited for ~$1.27M due to suspected price manipulation. The profits were sent into Tornado Cash.
Attacker: 0xFDbfcEEa1de360364084a6F37C9cdb7AaeA63464

The attacker flashloaned a large amount of $USDT, then called 0x33688938() to add $USDT to the… pic.twitter.com/POppQswi7u

— Beosin Alert (@BeosinAlert) October 11, 2023

Pero, ¿En qué Consiste Exactamente un Ataque de Préstamo Flash?

Los ataques de préstamo flash son una forma de explotación en el espacio de las finanzas descentralizadas (DeFi), que hacen uso de los préstamos flash, caracterizados por no requerir garantías.

En esencia, un usuario puede pedir prestados activos sin necesidad de proporcionar garantías, con la condición de devolver la cantidad prestada en el mismo bloque de transacciones.

Si el prestatario no cumple con esta condición, la cadena de bloques revertirá la transacción, asegurando que el prestamista no pierda ningún fondo.

El atacante aseguró un préstamo flash, lo que le otorgó acceso inmediato a una cantidad sustancial de capital sin necesidad de garantías. Con estos activos prestados, manipuló los precios en intercambios descentralizados (DEX) ejecutando operaciones de gran volumen.

Esta manipulación de mercado intencionada creó oportunidades de arbitraje: el atacante compró activos a un precio bajo en una plataforma y los vendió a un precio más alto en otra.

Después de obtener las ganancias, el atacante reembolsó rápidamente el préstamo flash dentro del bloque de transacciones estipulado y se quedó con las ganancias restantes.

Este ataque se centró en la manipulación de las proporciones de liquidez en un pool de liquidez, permitiendo al atacante retirar una cantidad mucho mayor de USDT de la que inicialmente invirtió. Este beneficio, asombroso en su magnitud, ascendió a $1.575 millones.

Posteriormente, el atacante transfirió todas las ganancias, un total de $1.27 millones, a Tornado Cash, un servicio de mezcla de Ethereum centrado en la privacidad, lo que dificultó el rastreo de la fuente de los fondos.

Si bien la vulnerabilidad exacta que permitió este ataque en Pancakeswap BH/USDT en BNB Chain aún no se conoce, se sugieren posibles puntos débiles basados en patrones de ataques anteriores y conocimiento general sobre DeFi.

Las vulnerabilidades pueden incluir errores en contratos inteligentes, manipulación de oráculos y distorsiones de precios explotables en los pools de liquidez.

Los oráculos, que proporcionan datos externos como precios de activos a las plataformas blockchain, pueden ser falsificados o manipulados, lo que crea discrepancias de precios artificiales propicias para la explotación.