Fue un ataque de préstamos rápidos que manipuló los precios para luego drenar la liquidez de un grupo. QuickSwap ha optado por cerrar los préstamos.
***
- QuickSwap es la última víctima de hackeo en DeFi
- Perdió más de USD $200.000 en un ataque flash loan
- Octubre es el mes con más criptoataques de la historia
QuickSwap, un protocolo de finanzas descentralizadas (DeFi) basado en Polygon, se convirtió el lunes en la víctima más reciente de un ataque de piratería en el criptoespacio.
El intercambio descentralizado (DEX) sufrió el lunes una explotación de USD $220.000, según confirmó el equipo de QuickSwap en un tweet. El ataque tuvo lugar en el mercado de préstamos Market XYZ, que fue la única plataforma comprometida, dijo la plataforma, que está cerrando su servicio de préstamos tras el incidente.
QuickSwap Lend is closing????$220k was exploited in a flash loans attack due to a vulnerability with the Curve Oracle, which @marketxyz was using
Only the Market XYZ lending market was compromised. QuickSwap's contracts are unaffected
????????????1/3 pic.twitter.com/oWNz7BAujT
— QuickSwap (@QuickswapDEX) October 24, 2022
De acuerdo con CoinDesk, que citó datos en cadena, los atacantes manipularon los precios de los tokens tomando fondos prestados mediante un flash loan, o préstamo relámpago, y luego usaron los valores inflados como garantía para drenar toda la liquidez del grupo de QuickSwap afectado. El equipo vinculó el ataque con una vulnerabilidad en el oráculo de Curve.
Cabe señalar que un préstamo flash es un tipo de préstamo no garantizado popular en DeFi. Los usuarios deben tomar el préstamo y reembolsarlo en una misma transacción o el contrato inteligente se revierte. Por su parte, los oráculos son servicios que obtienen datos de fuentes externas y brindan información a cualquier red de Blockchain.
QuickSwap cierra su servicio de préstamos Si bien los informes iniciales habían vinculado el ataque a QiDAO, que emite la moneda estable miMatic, luego se confirmó que estaba relacionado con la plataforma Market XYZ, que usaba los oráculos defectuosos del protocolo DeFi, Curve. QiDao dijo que el hackeo no estaba relacionado con sus contratos inteligentes y la firma de seguridad PeckShield confirmó más tarde:
Es una cuestión de manipulación de precios. El mercado miMATIC utiliza CurvePoolOracle para la alimentación de los precios, que se manipula para tomar fondos del mercado.
Mientras tanto, QuickSwap ha decidido cerrar por completo su servicio de préstamos. “Estamos alentando a los usuarios con fondos depositados en los mercados abiertos de Market xyz en QuickSwap a retirarlos ahora, ya que estamos en proceso de cerrarlos“, escribió el DEX a sus usuarios el lunes.
El equipo también aseguró que los fondos de los usuarios no se vieron comprometidos con el hackeo y que los contratos inteligentes de QuickSwap no se vieron afectados.
La explotación se suma a una creciente lista de hackeos que han convertido a octubre en el peor mes de la historia para la seguridad del criptoespacio. Un informe reciente de Chainalysis reveló que este mes se han robado más de USD $700 millones a protocolos DeFi; entre ellos, destacan casos notables como las explotaciones a BNB Chain y Mango Markets.
Lecturas recomendadas
- Binance está cerca de identificar al responsable del hackeo de USD $570 millones, dice CEO
- Hacker robó USD $300.000 al protocolo Olympus (TYO:7733) DAO, pero accedió a devolverlos
- Un hacker sustrajo USD $10 millones a protocolo DeFi Moola, pero luego devolvió casi todo
Imagen de Unsplash editada en Canva