Ya no queda ninguna duda, no es una moda pasajera, las criptodivisas han llegado para quedarse. Pero igual que pasa con el dinero real o cualquier objeto que tiene valor, se puede robar.
Y claro, en este sector se trabaja con cantidades millonarias y más cuando se roba a una de las grandes Stablecoins del sector como es el caso de Beanstalk Farms.
Stablecoin
La moneda digital o dinero digital en Internet es un medio de intercambio distinto del dinero real. Posee propiedades similares a las monedas físicas y permite transacciones instantáneas y transferencia de propiedad sin límites.
Las criptomonedas como bitcoin son monedas digitales descentralizadas, esto se traduce en que no hay ningún punto central que controle la oferta de dinero.
Una ‘Stablecoin’ surge para tratar de reducir la volatilidad de monedas virtuales. Básicamente es una criptomoneda vinculada a un activo de reserva como una moneda fiduciaria, una materia prima u otras criptomonedas. Es una versión tokenizada del activo y puede introducirse sutilmente en un ecosistema de blockchain.
También hay ‘stablecoins’ que no están asociadas a ninguna otra moneda sino que están controladas mediante algoritmos para mantener un precio estable. La principal motivación para crear una ‘stablecoin’ es tratar de dar refugio a los inversores en momentos de volatilidad.
Beanstalk Farms
Beanstalk Farms se describe a sí mismo como un «protocolo de stablecoin descentralizado basado en el crédito». Funciona con un sistema en el que los participantes obtienen recompensas aportando fondos a un fondo central de financiación que se utiliza para equilibrar el valor de un token, (estos son llamados ‘bean’) a cerca de 1 dólar.
Un préstamo flash permite a los usuarios pedir prestadas grandes sumas de criptomonedas por periodos muy cortos de tiempo. Estas sumas deben ser reembolsadas antes de finalizar la transacción. Se ofrecen mediante protocolos de finanzas descentralizadas (DeFi) basados en Ethereum, y su principal propósito es proporcionar liquidez o aprovechar la arbitrariedad de los precios en un momento determinado.
168 millones de euros en 13 segundos
El pasado domingo, un atacante consiguió robar alrededor de 182 millones de dólares (168 millones euros) en criptomonedas de Beanstalk Farms. Este proyecto DeFi cuyo objetivo es equilibrar la oferta y la demanda de diferentes activos de criptomonedas. El ataque explotó el sistema de voto mayoritario de Beanstalk, una característica fundamental de muchos protocolos DeFi. Y lo hizo en tiempo record, poco más de 10 segundos.
Desde PeckShield, una empresa de análisis de blockchain, se detectó el ataque el domingo por la mañana. En total se estima en unos 80 millones de dólares los beneficios netos del hacker, aunque tuvo que devolver algunos de los fondos que se le prestaron, necesarios para completar el ataque. Es decir, en total, y en apenas 13 segundos consiguió recaudar en sus arcas más de setenta millones de euros.
Gracias a un préstamo Flash
Según el análisis de la empresa de seguridad de blockchain CertiK, el atacante utilizó un préstamo flash. Obtenido a través del protocolo descentralizado Aave para pedir prestados cerca de 1.000 millones de dólares en activos de criptodivisas e intercambiarlos por suficientes ‘beans’ para obtener una participación con derecho a voto del 67% en el proyecto.
Estos fondos prestados se intercambiaron por ‘judías’, que son las recompensas que reciben los usuarios por contribuir a un gran fondo de financiación
Se trata de un ‘exploit’ en el mecanismo de dirección de Beanstalk y de otros muchos proyectos DeFi. Gracia a el, los participantes pueden votar para cambiar el código de la plataforma y reciben derechos de voto en proporción a los tokens que poseen.
Aprovechando su participación mayoritaria, el atacante pudo aprobar la ejecución del código que transfería los activos a su propia cartera. Tras la operación, el atacante devolvió el préstamo flash y obtuvo un beneficio final de 70 millones de dólares.
La stabecoin Beanstalk admitió el ataque en el siguiente tuit:
Beanstalk suffered an exploit today.
The Beanstalk Farms team is investigating the attack and will make an announcement to the community as soon as possible.
— Beanstalk Farms (@BeanstalkFarms) April 17, 2022
Muchos usuarios de Beanstalk Farms afirman haber perdido decenas de miles de dólares tras el ataque. Desde entonces, el atacante ha estado moviendo los fondos robados a través de Tornado Cash. Esto es un servicio de transacciones enfocado en la privacidad que mezcla unos depósitos con otros para retirarlos por una nueva dirección.
Un Acuerdo de culpabilidad
Para tratar de solucionar la problemática, Beanstalk ha ofrecido una recompensa del 10 % si los atacantes devuelven los fondos.
Esta oferta se publicó en el Twitter de la empresa y se envió a los atacantes a través de un mensaje al día siguiente. En el propusieron que los perpetradores del ataque devolvieran el 90% de los fondos robados a la billetera multifirma de Beanstalk Farms.
En compensación, los explotadores podrán quedarse con el 10% restante como una recompensa. Un trato ofrecido por las plataformas para recompensar a las personas por informar vulnerabilidades de seguridad.
