Robaron $10.8 millones y los desarrolladores están implicados en un supuesto robo de contratos inteligentes.

Otro proyecto de Finanzas descentralizadas (DeFi) fue desmantelado el martes, con aproximadamente USD 10,8 millones en fondos de inversores robados debido a una puerta trasera oculta en los contratos inteligentes del proyecto.

Finanzas de compuestos: una autodescrito Un clon de Harvest y Yearn Finanzas creado por programadores seudónimos, perdió sus contratos por un valor de $750,000 en Wrapped Bitcoin (WBTC), $4.8 millones éter, 5 millones de dólaresDAIy una pequeña variedad de otras fichas, según unDIRECCIÓNasociado con el exploit.

Y aunque el ataque LOOKS similar a otros ataques o exploits de DeFi, realizados una y otra vez en 2020, este acto de robo es diferente debido a la aparente estafa que estaban jugando los desarrolladores de Compounder, según Robert Leshner, fundador del protocolo de préstamos Compound Finanzas.

Sigue leyendo: Los líderes de la industria afirman que los exploits de DeFi no se pueden atribuir a los préstamos flash

En una entrevista telefónica, Leshner declaró a CoinDesk que Compounder se parecía a cualquier otro proyecto DeFi de yield farming que arrasó en la industria de las Criptomonedas el verano pasado. Sin embargo, los desarrolladores habían incorporado una función de llamada que les permitía retirar todos los fondos del proyecto —una acción que un proyecto de Finanzas descentralizadas jamás debería permitir— cuando consideraran que el botín era lo suficientemente cuantioso.

Tirar de la alfombra

Ese umbral aparentemente se cumplió el martes, a pesar de que los contratos de tokens de Compounder recién se crearon el 10 de noviembre, segúnEtherscan.

Leshner calificó el robo de identidad como ONE de los mayores exploits intencionados de Criptomonedas de los últimos tiempos; un exploit categóricamente diferente de otros exploits de DeFi debido a su objetivo final. También alega que Compounder "suplantó el nombre de Compound Finance" para atraer a más víctimas.

Un grupo de inversores de Telegram está investigando acciones legales contra los desarrolladores, aunque se conoce poca información sobre los responsables de Compounder. Un inversor que... reclamoshaber perdido un millón de dólares en fondos y ofrece una recompensa de 50.000 dólares por información que conduzca a la confiscación de los fondos robados.

El token nativo de Compounder, CP3R, ha caído un 98,8% en las últimas 24 horas y ahora se cotiza a 0,24 dólares, segúnCoinGecko.

Las auditorías de contratos inteligentes no son suficientes

Compounder fue auditado por Solidity Finanzas. Las auditorías suelen considerarse un acto de buena fe en el salvaje oeste de las DeFi. Solidity Finanzas informó a CoinDesk que encontró el contrato con bloqueo temporal en cuestión a mediados de noviembre y lo comunicó a los desarrolladores del proyecto. Ofreció documentación también.

Desafortunadamente, Compounder no sólo sabía de la función, sino que aparentemente tenía planes para ella.

"El equipo de Compounder intercambió los contratos de estrategia seguros y auditados y los reemplazó con contratos maliciosos de 'Evil Strategy' que les permitieron robar los fondos de los usuarios", declaró Solidity Finanzas a CoinDesk en un mensaje de Telegram, y agregó:

Lo hicieron mediante un bloqueo temporal público de 24 horas, aunque claramente sin supervisión. Este problema de control centralizado por parte del equipo de C3PR se planteó en nuestro informe de auditoría y en nuestras conversaciones con su equipo. El equipo tenía la facultad de actualizar los fondos estratégicos y lo hicieron con malicia para robar los fondos de los usuarios. En otras palabras, los inversores pasaron por alto la vulnerabilidad de seguridad, a pesar de que la auditoría detectó el bloqueo temporal en cuestión.

Muchos inversores en DeFi están aprendiendo que las auditorías no necesariamente equivalen a un protocolo seguro. Akropolis Finanzas es otro ejemplo reciente. Fue hackeado a principios del mes pasado por 2 millones de dólares en DAI, a pesar de que sus contratos habían sido auditados por dos empresas.

De hecho, las auditorías son de diferentes tipos. Solidity Finanzas declaró a CoinDesk que buscaba principalmente "atacantes externos". La firma planea proporcionar más información sobre posibles riesgos derivados del control de los desarrolladores en el futuro.

Corrección (3 de diciembre de 2020, 19:40 UTC)): Una versión anterior de este artículo indicaba que la función de bloqueo de tiempo solo se reveló al equipo de Compounder Finance. El informe de auditoría pública incluía esta información.