Un hacker logró drenar más de 6 millones de dólares del protocolo de finanzas descentralizadas (DeFi) Delta Prime al acuñar una cantidad arbitrariamente grande de tokens de recibo de depósito.

Según datos del explorador de bloques Arbiscan, el atacante acuñó más de 115 duovigintillions de tokens Delta Prime USD (DPUSDC) en el ataque inicial, lo que equivale a más de 1,1*10^69 en notación científica.

DPUSDC es un recibo de depósito de la stablecoin USDC (USDC) que se guarda en Delta Prime. Está pensado para canjearse en una proporción de 1:1 por USDC.

A pesar de haber acuñado una cantidad tan grande de recibos de depósito de USDC, el atacante solo quemó 2,4 millones de ellos, recibiendo 2,4 millones de dólares en monedas estables de USDC a cambio.

El atacante acuñó una gran cantidad de tokens DPUSDC y canjeó algunos de ellos. Fuente: Arbiscan.

El atacante luego repitió estos pasos para otros tokens de recibo de depósito, acuñando más de 1 duovgintillones de Delta Prime Wrapped Bitcoin (DPBTCb), 115 octodecillones de Delta Prime Wrapped Ether (DPWETH), 115 octodecillones de Delta Prime Arbitrum (DPARB) y muchos otros tokens de recibo de depósito, canjeando finalmente una pequeña fracción de la cantidad acuñada para recibir más de $1 millón en Bitcoin (BTC), Ether (ETH), Arbitrum (ARB) y otros tokens.

Según el especialista en seguridad blockchain Chaofan Shou, el atacante ha robado aproximadamente 6 millones de dólares en fondos hasta ahora.


Fuente: Chaofan Shu.

El atacante pudo crear estos tokens de recibo de depósito al obtener primero el control de una cuenta de administrador que terminaba en b1afb, lo que probablemente logró robando la clave privada del desarrollador. Usando esta cuenta, invocaron una función de "actualización" en cada uno de los contratos del fondo de liquidez del protocolo.

Estas funciones están pensadas para ser utilizadas en actualizaciones de software. Permiten al desarrollador cambiar el código de un contrato haciendo que su proxy apunte a una dirección de implementación diferente.

Sin embargo, el atacante utilizó estas funciones para dirigir cada proxy a un contrato malicioso que había creado. Cada contrato malicioso le permitió al atacante crear una cantidad arbitrariamente grande de recibos de depósito, lo que le permitió vaciar efectivamente cada fondo común.

El atacante de Delta Prime actualiza sus contratos. Fuente: Arbiscan.

Delta Prime reconoció el ataque en una publicación en X, afirmando que “A las 6:14 a. m. CET, DeltaPrime Blue (Arbitrum) fue atacada y drenada por $ 5,98 millones”.

Afirmó que la versión de Avalanche, DeltaPrime Blue, no es vulnerable al ataque. También afirmó que el seguro del protocolo “cubrirá cualquier pérdida potencial cuando sea posible/necesario”.

El ataque de Delta Prime ilustra el riesgo de que los protocolos DeFi utilicen contratos actualizables.

El ecosistema Web3 está diseñado para evitar que los ataques a claves privadas exploten protocolos enteros.

En teoría, un atacante debería tener que robar las claves privadas de cada usuario para vaciar todo el protocolo. Sin embargo, cuando los contratos son actualizables, se introduce un elemento de riesgo de centralización, que puede provocar que una base de usuarios entera pierda sus fondos.

Aun así, algunos protocolos creen que renunciar a la posibilidad de actualizar puede ser peor que su alternativa, ya que puede impedir que un desarrollador arregle los errores encontrados después de la implementación. Los desarrolladores de Web3 siguen debatiendo cuándo los protocolos deberían permitir y cuándo no las actualizaciones.

Las vulnerabilidades de los contratos inteligentes siguen representando un riesgo para los usuarios de Web3. El 11 de septiembre, un atacante drenó más de 1,4 millones de dólares de un fondo de liquidez de tokens CUT utilizando una línea de código poco conocida que apuntaba a una función no verificada en un contrato independiente.

El 3 de septiembre, más de 27 millones de dólares fueron drenados del protocolo Penpie después de que el atacante registrara con éxito su propio contrato malicioso como un mercado de tokens.