Conic Finance sufre un ataque y pierde más de $3 millones en Ethereum.
El 21 de julio, el protocolo descentralizado Conic Finance fue víctima de un ataque hacker que resultó en daños por un valor de 1700 ETH (más de $3.2 millones). Un desconocido aprovechó una vulnerabilidad para manipular el oráculo de precios. Así lo informó Matthew Jiang, director de seguridad de la información de la empresa BlockSec.
Conic Finance es un protocolo DeFi diseñado para distribuir fondos en el intercambio descentralizado (DEX) Curve utilizando pools de liquidez que administra.
En este tipo de ataques, se aprovecha la posibilidad de llamar a una función múltiples veces en una transacción antes de que se complete la llamada inicial. Este mecanismo permite al hacker retirar más fondos de los que deberían estar incluidos en el algoritmo. Durante el incidente, el hacker tomó un flash loan de 20,000 stETH, y estos fondos se dirigieron al protocolo Conic, donde se aumentó la ganancia mediante la manipulación del oráculo de precios.
Según las conclusiones preliminares del equipo de Conic Finance, la principal causa fue un ataque de reentrada que fue posible debido a una lectura incorrecta de las direcciones en el registro de los pools de ETH de Curve V2. Los desarrolladores están trabajando en corregir el contrato afectado. Han destacado que este exploit no puede ser realizado en el pool de ETH de Omni y que las retiradas de fondos son seguras.
Según analistas de ciberseguridad de PeckShield, la principal causa radica en una vulnerabilidad del nuevo contrato CurveLPORacleV2.
Anteriormente, el protocolo DeFi Euler Finance perdió más de $175 millones en un ataque de flash loan. Según la empresa de ciberseguridad CertiK, la cantidad de daños fue considerable. Según sus datos, los hackers retiraron aproximadamente $196 millones, incluyendo casi $43 millones en DAI y $93,800 en Ethereum envuelto (wETH).
En febrero, la stablecoin USP perdió su anclaje al dólar después de un hackeo del protocolo DeFi Platypus. Los hackers utilizaron flash loans en tokens Avalanche (AVAX). Posteriormente, los sospechosos de haber perpetrado el hackeo fueron arrestados en Francia.
