El proyecto DeFi Harvest Finance pierde 24 millones de dólares por los hackers

A estas alturas, todo el mundo sabe que el sector DeFi ha sido el centro de atención de la industria de la criptografía en 2020. El sector ha crecido miles de millones de dólares en solo unos pocos meses. Sin embargo, al igual que comenzó a atraer nuevos usuarios e inversionistas, así como su dinero, también comenzó a atraer a hackers interesados en robar ese dinero.

Esto es exactamente lo que sucedió con un protocolo DeFi conocido como Harvest Finance.

¿Que pasó?

Según nueva información, alguien logró hackear el proyecto explotando una vulnerabilidad de todo el ecosistema DeFi. La falla les permitió robar hasta $24 millones de dólares de Harvest Finance, un agregador de rendimiento que proporciona liquidez a varios otros grupos de DeFi.

A partir de lo que el proyecto compartió en Twitter, los hackers aparentemente lograron aprovechar el mecanismo del proyecto en la piscina Y de Curve, y realizar un ataque.

Presuntamente, los hackers fueron capaces de estirar el precio de los stablecoins de la piscina Y de Curve a través de la manipulación del arbitraje, utilizando un préstamo flash de 50 millones de dólares. Después de eso, utilizaron los fondos de Bitcoin y Stablecoin en el propio Harvest Finance para conseguir una cantidad aún mayor de Stablecoins, al tiempo que proporcionaban monedas de alto precio en Curve.

El ataque completo duró solo unos siete minutos, y durante ese tiempo, los atacantes se las arreglaron para irse con 24 millones de dólares.

El volumen de operaciones en USDT y USDC en Curve aumentó de 10 millones de dólares a más de 2,700 millones de dólares en el momento del ataque.

Otro ataque con un método conocido

Este tampoco es un método nuevo, ya que el ataque en sí y su naturaleza ya se discutieron extensamente en un artículo académico del Imperial College de Londres. El documento explica exactamente cómo se podrían usar los préstamos flash para manipular los precios de los pares de tokens, lo que conduciría a una fuga de liquidez.

Este ataque es también muy similar al que afectó a Eminence, durante el cual un hacker consiguió robar 15 millones de dólares. Como muchos recordarán, este incidente tuvo un giro interesante, ya que el atacante terminó enviando la mitad del dinero robado a una dirección que pertenecía al desarrollador principal del proyecto.

Lo mismo ocurrió esta vez, aunque los atacantes no devolvieron la mitad del dinero, sino solo el 10% de lo que robaron. Si bien algunos creen que este podría ser el movimiento característico de los atacantes, otros lo consideran una nueva tendencia que los desarrolladores podrían estar adoptando.