El Departamento de Justicia de Estados Unidos (DOJ) acaba de anunciar los detalles del ataque a KyberSwap, una plataforma de finanzas descentralizadas (DeFi) del proyecto Kyber Network desarrollado por ciudadanos vietnamitas. En este sentido, Andean Medjedovic (22 años), ciudadano canadiense, está acusado de estar detrás del hackeo ocurrido a finales de 2023, provocando que los usuarios de KyberSwap perdieran 48,4 millones de dólares.
Cómo atacan los hackers
KyberSwap permite a los usuarios intercambiar criptomonedas mientras las financian colectivamente en fondos de liquidez. Esto permite que el sistema tenga un conjunto de tokens disponibles para que las personas puedan intercambiarlos en cualquier momento. Aprovechando una vulnerabilidad en el contrato inteligente de KyberSwap, los piratas informáticos tomaron prestadas temporalmente grandes cantidades de capital utilizando herramientas de "préstamos flash" y pusieron este dinero en fondos de liquidez.
Luego manipuló los precios, colocando transacciones meticulosamente calculadas para engañar al sistema, causando que el software calculara mal y permitiendo al pirata informático retirar más activos de los que había depositado.
El exploit de KyberSwap le cuesta a los usuarios 48,4 millones de dólares
En la acusación, el Departamento de Justicia describe la vulnerabilidad como un "error de redondeo" en los pasos de cálculo. Por ejemplo, el límite de intercambio de tokens es 1.056.056.735.638.220.800.000, el hacker realizó un pedido de 1.056.056.735.638.220.799.999 (solo 1 unidad menos), aún dentro del límite, pero la regla de redondeo lo hizo. Algunas funciones no funcionan exactamente como están diseñadas, lo que resulta en vulnerabilidades explotables.
Medjedovic realizó 77 transacciones de este tipo, sustrayendo un total de 48,4 millones de dólares de las billeteras de los usuarios. Medjedovic luego utilizó varios trucos para borrar rastros, como transferir dinero a diferentes casas de cambio o colocarlo en un mezclador de tokens.
Además de los cargos de allanamiento criminal, Medjedovic también está acusado de extorsión al enviar mensajes exigiendo que Kyber Network le dé el control parcial de la empresa a cambio de devolver algunos de los activos robados. El hacker de 22 años también pensó con confianza que había engañado con éxito a los investigadores. Sin embargo, cuando encontró problemas con la herramienta de eliminación de rastros, Medjedovic contactó a "un desarrollador de software" en busca de ayuda, sin esperar que esta persona fuera un agente encubierto.
Respuesta de KyberSwap
Según el director ejecutivo de Kyber Network, Tran Huy Vu, aunque la empresa aún no ha recuperado todos los activos perdidos, los ha devuelto de forma proactiva a los usuarios. El grave incidente obligó a Kyber Network a reestructurarse a finales de 2023, recortando el 50% de su personal y cerrando temporalmente la función KyberSwap Elastic.
El Departamento de Justicia lo calificó como un robo sofisticado que explotó una laguna en un contrato inteligente DeFi. Los observadores dicen que el incidente es un recordatorio para que todos los proyectos DeFi revisen constantemente las vulnerabilidades, sean cautelosos con las órdenes comerciales complejas y tengan un plan de respuesta a los riesgos. A medida que DeFi se vuelve cada vez más popular, el ataque de Medjedovic muestra cómo los piratas informáticos pueden encontrar y explotar incluso las fallas más pequeñas en la lógica computacional.
“Incluso con la complejidad de DeFi, pudimos rastrear al responsable del robo masivo y arrestarlo”, afirmó el representante del Departamento de Justicia de Estados Unidos. El incidente es visto como evidencia de que, aunque el atacante se esconde tras muchos pasos de ocultación, las autoridades aún tienen una manera de encontrar al perpetrador y responsabilizar al criminal ante la ley.
Fuente: https://thanhnien.vn/tin-tac-canada-chiem-doat-hon-48-trieu-usd-tu-du-an-kyberswap-cua-nguoi-viet-185250205084915802.htm
Kommentar (0)