El último hack de finanzas descentralizadas (DeFi) lo ha sufrido el protocolo Spartan basado en Binance Smart Chain y ha resultado en grandes pérdidas.
El 2 de mayo, la empresa de seguridad PeckShield detalló en un informe el exploit que sufrió el protocolo Spartan, que había ocurrido el día anterior. Afirmó que el incidente se debió a un cálculo defectuoso de la participación de liquidez en el protocolo, que se aprovechó para drenar activos del pool.
Peckshield añadió que este hack específico infló el balance de activos del pool antes de quemar la misma cantidad de tokens del pool para reclamar una cantidad enorme de activos subyacentes, en este caso 30 millones de dólares.
El blog Rekt, que detalla los ataques y las vulnerabilidades en el ecosistema DeFi, ha clasificado esta incursión como la sexta más alta según su clasificación y ha dicho que “La era de los préstamos flash en BSC ha llegado”.
Otro post mortem más en DeFi
Rekt escribió un post mortem sobre el ataque. Descubrió que se pidió un préstamo flash en PancakeSwap de 100.000 wrapped BNB (wBNB), que se devolverán en el último paso con 260 wBNB como tarifa del préstamo flash.
Después, el atacante intercambió wBNB por el token SPARTA nativo del protocolo cinco veces a través del pool Spartan vulnerado, intercambiando cada vez 1.913 wBNB para obtener 621.865 tokens SPARTA. El proceso se realizó diez veces más para inflar el balance de activos en el pool.
A continuación, se quemaron los tokens para que se pudiera retirar la liquidez y el proceso se repitió hasta que se reembolsó el préstamo flash de 100.260 wBNB y el atacante se llevó más de 30 millones de dólares. PeckShield explicó lo siguiente:
“La vulnerabilidad se debe al hecho de que el cálculo de la participación de liquidez consulta el balance actual, que luego se puede inflar para su manipulación. Un cálculo correcto debe hacer uso del balance en caché”.
El atacante usó el exchange de 1INCH para intercambiar todos los tokens por BTCB o BETH, Spartan para hacer caer el precio de SPARTA y Nerve Finance para intercambiar BTCB y BETH por versiones de Anyswap, donde retiró los fondos robados.
Es probable que ocurran más exploits en Binance Smart Chain
El blog Rekt advirtió que más ataques de este tipo estaban por venir:
“Una historia simple de otro protocolo copiado que fue demasiado ambicioso con su imitación. La era de los préstamos flash en BSC ha llegado, y esta no será la última vez que veamos este tipo de ataques”.
Concluyó que, con tantos desarrolladores apresurándose a copiar los blue chips de Ethereum en Binance Smart Chain, los hackers tendrán oportunidades similares.
Los tokens SPARTA cayeron un 40% durante el fin de semana, cuando se dio a conocer la incursión.
El post Spartan pierde $30 millones en un ataque de préstamo flash en Binance Smart Chain fue visto por primera vez en BeInCrypto.