El ecosistema de las finanzas descentralizadas (DeFi) otro revés este martes, ya que el protocolo de liquidez de Bitcoin (BTC), Echo Protocol, fue objeto de un exploit masivo.
Según trascendió, el atacante logró juntar de forma no autorizada unos 1.000 eBTC (Bitcoin sintéticos), lo que sería una suma valuada en aproximadamente u$s76.7 millones.
El incidente fue detectado y reportado de forma temprana por las firmas de seguridad blockchain PeckShield y Lookonchain, y ante la situación, el equipo de Echo Protocol reaccionó suspendiendo todas las operaciones.
"Estamos investigando actualmente un incidente de seguridad que afecta al puente Echo en Monad. Todas las transacciones entre cadenas permanecen suspendidas mientras se lleva a cabo la investigación", declararon oficialmente desde Echo Protocol.
A diferencia de otros hackeos Web3 donde se vulneraron líneas de código, el desarrollador independiente conocido como "Marioo" informó que este caso se debió a un compromiso de la clave privada de administración, por lo que la causa raíz fue estrictamente "operativa, no técnica".
Según los reportes, el contrato inteligente de eBTC "funcionó exactamente como se diseñó", sin embargo, el sistema presentó severas vulnerabilidades de gobernanza y control de riesgos.
Algunas de estas vulnerabilidades fueron:
Tras generar los tokens de la nada, el atacante intentó blanquear parte de las ganancias utilizando la plataforma de préstamos y gestión de liquidez Curvance.
El recorrido de los fondos identificados por PeckShield se estructuró con un depósito inicial, donde el hacker depositó 45 eBTC (u$s3.45 millones) en Curvance.
Luego el delincuente utilizó ese colateral para pedir prestados 11.3 Bitcoin envueltos (wBTC), unos u$s868.000, para luego transferirse los tokens a la red Ethereum y los intercambió por ETH.
De esta forma, el atacante concluyó su robo cuando se envió 384 ETH, unos u$s822.000, al servicio de mezcla sancionado Tornado Cash.
A pesar de este movimiento, la gran mayoría del botín sigue bajo el control del atacante, y según datos de DeBank, el hacker todavía retiene 955 eBTC, equivalentes a unos u$s73 millones.
Por su parte, Curvance detectó la anomalía rápidamente, pausó el mercado afectado para resguardar a sus usuarios y confirmó que sus propios contratos inteligentes no fueron comprometidos.
Este ataque no es un hecho aislado, ya que el exploit de Echo Protocol se suma a una preocupante lista de ataque, que en lo que va del mes, que ya registró al menos 12 protocolos comprometidos.
Entre las víctimas recientes se encuentran firmas de alto perfil como THORChain, el puente de Ethereum de Verus Protocol, Transit Finance, TrustedVolumes y Ekubo.