Dodo, un protocolo de DeFi (finanzas descentralizadas en español), sufrió un hackeo donde perdió 3,8 millones de dólares en un ataque a su plataforma. En un comunicado mediante su página web explicaron cómo se aprovecho de la vulnerabilidad de Dodo para robar los fondos.
Según el comunicado:
Los exploits se dirigieron a varios CrowdPools Dodo V2, a saber, el WSZO, WCRES, ETHA y FUSI Pool. Los fondos en todas las otras pools, incluidas todas las pools V1 y todas las pools que no son de Crowdpool V2, son seguras. En total aproximadamente 3.8 millones de dólares, de los cuales 1.88 millones se esperan que se devuelvan (ver más abajo para obtener más información), se drenaron como resultado de estos exploits.
Generalmente como parte del modus operandi en estos casos de exploits a protocolos DeFi, se usan los préstamos exprés (flash loans) para conseguir los fondos y en el de Dodo no fue la excepción, el comunicado también amplia que:
El contrato inteligente DODO V2 Crowdpooling tiene un error que permite llamar varias veces a la función init (). Esto significa que un explotador puede realizar un ataque con los siguientes pasos:
Exploiter crea un token falso e inicializa el contrato inteligente con él llamando a la función init ()
Exploiter llama a la función sync () y establece la variable “reserva”, que representa el saldo del token, en 0
El explotador llama a init () nuevamente para reinicializar, esta vez con un token “real” (es decir, tokens en los grupos de DODO)
Explotador utiliza un préstamo flash para transferir todos los tokens reales de los grupos y eludir la verificación del préstamo flash.
En este ataque hubo dos individuos vinculados al hackeo, siendo uno de ellos supuestamente un bot y el otro contactó al exchange y ofreció devolver los fondos extraído de los pools.
Problemas para DeFi
Los ataques a protocolos DeFi no son nuevos, desde que llegó el boom de estos exchanges descentralizados (DEX) el año pasado, comenzó a conocerse sobre ataques a estas plataformas para robar millones de dólares mediante exploits.
En una investigación de la firma de análisis blockchain y criptomonedas, CipherTrace, del año pasado, informó que en promedio se perdían 10 millones de dólares en robos a protocolos DeFi por mes.
Por otro lado, el que fuese Contralor de la Moneda en Estados Unidos realizó un artículo de opinión donde expresaba que DeFi podía ser el inicio de los bancos autónomos mientras que la comisionada de la SEC, Hester Peirce, pedía claridad legal y libertad para operar en estas plataformas.