Polter Finance perdió la mayor parte de sus fondos en un ataque masivo
Polter Finance, una plataforma de préstamos descentralizados en la cadena de bloques Fantom, se vio gravemente afectada por un exploit de préstamo flash el 18 de noviembre, lo que resultó en la pérdida de más de $7 millones.
🚨ALERTA🚨@PolterFinance ha informado de un exploit en la cadena #Fantom. ¡Se han robado más de 7 millones de dólares en activos digitales!
Transacción: https://t.co/2sFDXiLkpm
💰 El atacante se financió originalmente a través de @TornadoCash en #Ethereum, y los fondos luego se transfirieron a #Fantom.
El equipo ha tomado… https://t.co/dYgVzDdsoh pic.twitter.com/N1u5sh7BPf
— 🚨 Alertas Cyvers 🚨 (@CyversAlerts) 18 de noviembre de 2024
El analista de blockchain Nick Franklin confirmó que el ataque fue un ejemplo clásico de manipulación de precios utilizando los mecanismos de fijación de precios de tokens de la plataforma.
El atacante primero canalizó fondos a través de Tornado Cash, un mezclador de monedas que oculta el origen de los fondos, antes de conectar los activos a la red Fantom.
Una vez en Fantom, el atacante manipuló el precio del token de gobernanza SpookySwap (BOO) tomando prestados casi todos los tokens BOO del grupo de liquidez, lo que provocó que el precio del token se disparara.
Con el precio inflado, el atacante depositó solo un token BOO y agotó los fondos de liquidez de $9,1 millones en tokens Fantom envueltos, obteniendo una ganancia de $7,8 millones.
Siguieron otros ataques dirigidos a otros tokens, incluidos Magic Internet Money (MIM), sFTMX, Axelar USDC y Bitcoin.
Se estima que la pérdida total podría haber superado los 12 millones de dólares.
Problema muy clásico de oráculo. Como se puede ver en la imagen, el precio del token BOO es muy alto. ¿Por qué? El precio del token BOO se calcula utilizando el estado del token Spooky LP. Esto se puede manipular fácilmente utilizando flashloan. Al comienzo del ataque, el hacker tomó prestados casi todos los tokens BOO de https://t.co/MGkrsBsmpw pic.twitter.com/kdSJilOdZr
— Nick L. Franklin (@0xNickLFranklin) 18 de noviembre de 2024
Si bien Franklin no especuló sobre cómo el atacante pagó el préstamo flash, es posible que haya comprado tokens BOO adicionales de otros grupos a un precio más bajo.
El incidente sirve como un duro recordatorio de los riesgos asociados con las plataformas que dependen de tokens de baja liquidez, que son particularmente vulnerables a la manipulación de precios en los ecosistemas DeFi.
Polter Finance tomó medidas
Al identificar la violación, Polter Finance suspendió rápidamente su plataforma para mitigar daños mayores y alertó a los principales operadores del puente.
El fundador seudónimo, "Whichghost", presentó una denuncia policial en Singapur y ha estado en comunicación directa con el atacante en un esfuerzo por negociar una resolución.
El siguiente es el informe policial presentado sobre el exploit de @polterfinance $POLTER pic.twitter.com/1PycJIrbZV
— whichghost 💥 | Polter Finance (@whichghost) 17 de noviembre de 2024
El exploit, que se originó a partir de una vulnerabilidad en el contrato inteligente recientemente implementado en la plataforma, agotó los activos de los usuarios, con pérdidas reportadas que superaron los 16,1 millones de SGD (aproximadamente 12 millones de USD).
Sin embargo, algunas empresas de seguridad Web3 estiman que la cantidad real robada fue cercana a los 7 millones de dólares.
Además de las pérdidas de la plataforma, Whichghost reportó personalmente una pérdida de $223,219 además de adjuntar un enlace post mortem en Discord.
Adjunto el enlace del post mortem de Discord aquí https://t.co/peEU6T1H5M
— whichghost 💥 | Polter Finance (@whichghost) 17 de noviembre de 2024
En una declaración publicada en X (antes conocido como Twitter), Polter Finance reveló que los fondos robados fueron rastreados hasta billeteras vinculadas a Binance.
La plataforma se suspendió poco después de que se identificara el exploit.
Se notificaron los puentes.
Identificamos las billeteras involucradas y las rastreamos hasta Binance.
Todavía estamos investigando la naturaleza del exploit.
Estamos en proceso de contactar con las Autoridades.
— polterfinance💥 (@polterfinance) 17 de noviembre de 2024
El equipo también envió un mensaje en cadena al atacante, ofreciendo negociar la devolución de los fondos sin acciones legales.
Nos estamos comunicando formalmente en cadena con el explotador con respecto al exploit $POLTER. pic.twitter.com/XKrYlahaSx
— polterfinance💥 (@polterfinance) 17 de noviembre de 2024
Esta medida subraya los esfuerzos de la plataforma por recuperar los activos robados y minimizar la escalada legal.
Los expertos de la industria opinan
Los expertos en seguridad de Web3 creen que el exploit se originó a partir de un ataque de manipulación de precios que involucraba oráculos, fuentes de datos externas utilizadas por las plataformas para determinar los valores de los tokens.
Según los hallazgos compartidos por la firma de auditoría de contratos inteligentes QuillAudits, la vulnerabilidad estaba vinculada a la forma en que Polter Finance calculó el valor del token BOO de SpookySwap.
QuillAudits dijo:
“El precio del token BOO de SpookySwap en el pool de préstamos se determinó a partir del precio spot del pool v3 y el par v2 de SpookySwap; calculado en función de la relación de saldo de tokens en el pool”.
Al inflar artificialmente el precio de BOO, el hacker pudo depositar una cantidad mínima (solo un token BOO) y retirar sumas significativamente mayores en otros activos, agotando efectivamente la plataforma.
Hakan Unal, científico senior de blockchain en Cyvers Ai, señaló:
“Este caso ejemplifica un clásico exploit de manipulación de Oracle. El precio del token BOO es manipulado por el atacante utilizando un préstamo flash para inflar artificialmente el precio del token BOO”.
En respuesta, Polter Finance se ha asociado con el Centro de análisis e intercambio de información de la Alianza de Seguridad (SEAL-ISAC) para rastrear al atacante y recuperar los fondos robados.
Estamos trabajando activamente con @cryptogle @_SEAL_Org @MatchSystems para encontrar una solución al exploit $POLTER.
Por favor, comprenda que no podemos responder preguntas específicas en este momento, pero daremos otro anuncio tan pronto como podamos.
— polterfinance💥 (@polterfinance) 18 de noviembre de 2024
