Explotación de Voltage Finance
Un hacker involucrado en la explotación de 4.67 millones de dólares del protocolo de préstamos de finanzas descentralizadas Voltage Finance en 2022 ha movido parte del Ether robado a Tornado Cash tras un breve periodo de inactividad. La firma de seguridad blockchain CertiK informó en una publicación del 6 de mayo en X que 100 ETH, equivalentes a 182,783 dólares a los precios actuales, fueron transferidos desde una dirección diferente utilizada inicialmente en el ataque, pero que se puede rastrear hasta el hacker.
Método del Ataque
En marzo de 2022, el atacante aprovechó una «función de callback integrada» en el estándar de token ERC677, lo que les permitió drenar el fondo de préstamos de la plataforma a través de un ataque de reentrada, según CertiK. Tras la explotación, Voltage Finance informó que el hacker sustrajo varias stablecoins y otras criptomonedas, incluyendo USDC, Binance USD (BUSD), Bitcoin envuelto y tokens de Ethereum.
Actividad Posterior del Hacker
La dirección utilizada por el hacker para llevar los fondos a Tornado Cash había permanecido inactiva desde noviembre, con la última transacción registrada hace 166 días, según datos de Etherscan. En un análisis post-mortem del exploit de 2022, Voltage Finance señaló que la dirección del atacante fue marcada en Etherscan y se solicitó a los intercambios que bloquearan cualquier transacción asociada. También se hicieron intentos de contactar al atacante y negociar una recompensa para la devolución de los fondos.
Otros Explotaciones y Respuestas
Los pools de staking de Voltage Finance fueron víctimas en el ataque de marzo. Además, Voltage Finance fue afectado nuevamente por otro exploit el 18 de marzo, cuando sus pools de Simple Staking fueron comprometidos, indicó el protocolo en un comunicado publicado en X. En total, se robaron 322,000 dólares.
En su análisis post-mortem del 20 de marzo, Voltage Finance dijo que ofreció al atacante una recompensa de 50,000 dólares por devolver los fondos y que posiblemente había identificado a un desarrollador que trabajaba en los pools de Simple Staking, quien podría haber estado involucrado.
«Si bien no hemos confirmado si él es el hacker, como medida de precaución, revocamos su acceso de inmediato y presentamos informes policiales para colaborar con las fuerzas del orden y los intercambios centralizados»
, comentó el protocolo.
Aumento de Pérdidas en Criptomonedas
Las pérdidas generales en criptomonedas aumentaron un 1,163% en abril, siendo la mayor parte atribuida a un robo de la billetera de un anciano estadounidense, tras un ataque en el que un hacker empleó tácticas avanzadas de ingeniería social para sustraer 3,520 Bitcoin, valorados en 330.7 millones de dólares. Excluyendo ese ataque, las pérdidas de criptomonedas en abril fueron de 34 millones de dólares, lo que representa un aumento del 21% con respecto a marzo. Sin embargo, el mes también registró más de 18 millones de dólares devueltos, ya que el hacker responsable del exploit de 7.5 millones de dólares del intercambio descentralizado KiloEx devolvió todos los fondos robados apenas cuatro días después del ataque. La Asociación ZKsync también recuperó tokens robados por un valor de 5 millones de dólares en un incidente de seguridad del 15 de abril que involucró su contrato de distribución de airdrop.
