Polter Finance, una plataforma de préstamos descentralizada, tuvo que cerrar sus operaciones después de ser pirateada, lo que provocó el robo de casi todos los activos de la plataforma. Los daños totales estimados ascienden a 16,1 millones de dólares de Singapur (equivalentes a 12 millones de dólares), según el informe del equipo fundador.
Detalles del incidente:
1. Cómo atacar:
• Los piratas informáticos explotaron una vulnerabilidad en el mecanismo de fijación de precios del token BOO de Polter Finance, un activo negociado en la plataforma SpookySwap.
• A través de Oracle Manipulation (ataque de manipulación de precios a través de Oracle), los atacantes utilizan préstamos rápidos para inflar el precio de los tokens BOO y luego realizan transacciones para retirar una gran cantidad de activos de la plataforma.
2. Viaje de ataque:
• El atacante utilizó inicialmente Tornado Cash, una herramienta de mezcla de monedas en Ethereum, para ocultar el origen de los fondos.
• Luego, los fondos se conectan a la red Fantom, donde se explotan las vulnerabilidades de seguridad en el contrato inteligente.
3. Daño:
• Según los informes, los piratas informáticos retiraron entre 7 y 12 millones de dólares, agotando el TVL (valor total bloqueado) de Polter Finance de 9,7 millones de dólares antes del ataque.
• El fundador anónimo de Polter, Whichghost, también sufrió pérdidas personales de aproximadamente 223.219 dólares.
4. Acción de Polter Finance:
• La plataforma ha detenido temporalmente sus operaciones para controlar los daños y notificar a los proveedores del puente.
• Polter envió un mensaje en cadena al hacker, ofreciéndole negociar la devolución del dinero sin recurso legal.
• Al mismo tiempo, están trabajando con SEAL-ISAC para localizar al atacante.
Causa principal:
• Según la firma de auditoría de seguridad QuillAudits, el problema radica en la forma en que Polter Finance calcula el precio del token BOO basándose en la proporción de tokens en pares de liquidez en SpookySwap (v3 y v2).
• Esto permite a los atacantes utilizar préstamos rápidos para aumentar los precios de BOO y retirar activos a un valor muchas veces mayor que el valor real.
Impacto y lecciones:
1. Impacto en la industria criptográfica:
• Este hack es un excelente ejemplo de vulnerabilidades de seguridad en las plataformas DeFi. Según un informe de Certik, las pérdidas totales por hackeos en la industria de la criptografía superaron los 2.000 millones de dólares en 2024, con más de 44 incidentes relacionados con errores de código.
2. Lección:
• El uso inseguro de Oracle puede generar vulnerabilidades graves. Los proyectos deben realizar rigurosas auditorías de seguridad y optimización de contratos inteligentes antes de su implementación.
Concluir:
El hack de Polter Finance no es sólo una lección de advertencia para los desarrolladores de blockchain, sino que también advierte a los inversores que tengan cuidado al participar en plataformas DeFi que no han sido examinadas exhaustivamente.