Exploit de $700,000 por Manipulación de Oráculos Expone Vulnerabilidades en Bóvedas DeFi

Un reciente ataque a plataformas de finanzas descentralizadas (DeFi) ha puesto en evidencia vulnerabilidades en la implementación de bóvedas tokenizadas y oráculos de precios, afectando al protocolo Venus en la red Ethereum Layer 2, ZKsync.

El 27 de febrero, un atacante ejecutó un "donation attack" basado en flash loans, tomando prestados aproximadamente $4 millones de Aave para manipular la tasa de intercambio de wUSDM, el token envuelto de la stablecoin de Mountain Protocol. Mediante esta estrategia, el atacante logró inflar la tasa de cambio de wUSDM de 1.06 a 1.7, permitiéndole ejecutar una autoliquidación en Venus Protocol y obtener ganancias ilícitas.

Impacto y reacción de los protocolos afectados

A pesar de la rápida reacción de Venus Protocol al congelar el mercado, el ataque dejó una pérdida neta de más de $716,000, según un análisis forense publicado por la firma de gestión de riesgos Chaos Labs. El atacante logró quedarse con aproximadamente $200,000 tras ejecutar la manipulación.

"Ambos equipos implementaron medidas de emergencia adecuadas: congelación de mercados, ajuste de parámetros de riesgo y restablecimiento de la tasa de intercambio", señaló Yoni Keselbrener, jefe de DeFi en Lightblocks Labs, en una entrevista con The Block.

Vulnerabilidades en el estándar ERC-4626

El ataque explotó una debilidad en el estándar ERC-4626, que regula las bóvedas tokenizadas dentro del ecosistema DeFi. Un informe de Euler Finance en enero de 2024 ya advertía sobre estos riesgos, destacando que la mayoría de las bóvedas carecen de mecanismos de seguridad para prevenir manipulaciones en las tasas de intercambio.

"El estándar ERC-4626 no incluye salvaguardas contra la manipulación de tasas de intercambio cuando se usa en protocolos de préstamo", concluyó el análisis de Chaos Labs.

Medidas para evitar futuros ataques

Chaos Labs señaló que estrategias de seguridad adecuadas podrían haber mitigado este ataque, incluyendo:

• Uso de oráculos de tasas de intercambio de cadenas cruzadas.

• Implementación de límites de apreciación en las tasas de intercambio.

• Aplicación de mecanismos de protección como el sistema CAPO de Aave, que evita manipulaciones basadas en incrementos artificiales del rendimiento.

La cuenta de Curve Finance en X respondió al debate, afirmando que este tipo de ataques pueden afectar cualquier bóveda, no solo aquellas bajo ERC-4626, lo que resalta la necesidad de un enfoque más amplio en seguridad dentro de DeFi.

"A medida que DeFi se vuelve más complejo, es crucial ir más allá de los simples oráculos de precios y considerar el perfil de riesgo completo de los activos integrados", afirmó Keselbrener. "La infraestructura de oráculos especializados no es una limitación, sino una capa adicional de seguridad".

Este incidente subraya la importancia de desarrollar métodos más robustos para evitar manipulaciones en los protocolos de préstamos y garantizar la estabilidad del ecosistema DeFi.

Descargo de responsabilidad

Este artículo de noticias tiene como objetivo ofrecer información precisa y actualizada. Sin embargo, no se debe considerar como asesoramiento financiero, legal o profesional. Se recomienda a los lectores verificar la información de manera independiente y consultar con expertos antes de tomar cualquier decisión basada en el contenido proporcionado.