- El exploit de préstamo flash drena USD 320K del contrato de préstamo USDC de Moonwell DeFi.
- El atacante intercambia USDC robado por DAI; Los fondos ahora están en su billetera.
Se utilizaron contratos maliciosos y TornadoCash para ejecutar el ataque.
Moonwell DeFi, un protocolo de préstamos descentralizados que opera en la red Optimism, sufrió un exploit de préstamo flash, lo que resultó en una pérdida de USD 320,000. El perpetrador se dirigió al contrato de préstamo USDC del protocolo, utilizando una dirección de contrato maliciosa disfrazada de «mToken». Esta ley otorgó aprobaciones de tokens no autorizadas, lo que permitió al atacante drenar fondos de los usuarios de Moonwell.
Los sistemas de seguridad de la plataforma DeFi pronto alertaron a los usuarios y señalaron áreas de infracciones ilegales, incluidas fuentes de financiación sospechosas y actividad contractual maliciosa. Los detectives on-chain también descubrieron que la billetera del atacante estaba prefinanciada a través de Tornado Cash en la red Ethereum y cambiaron estratégicamente los USDC robados por DAI. Actualmente, los activos robados están en la billetera del atacante, lo que dificulta la recuperación.
¿Cuál es el impacto en los usuarios de Moonwell y DeFi?
Los exploits de préstamos flash son una amenaza creciente en el ecosistema de las finanzas descentralizadas (DeFi). En este caso, el atacante aprovechó las vulnerabilidades de los contratos inteligentes de Moonwell, mostrando los riesgos continuos a los que se enfrentan los protocolos a pesar de las estrictas auditorías y medidas preventivas. El exploit demuestra la necesidad urgente de que las plataformas DeFi monitoreen, parcheen y mejoren continuamente su infraestructura de seguridad.
Con todo, el espacio DeFi representa la mayor parte de los activos robados en el primer trimestre de 2024. Le siguen de cerca los servicios centralizados que fueron los más atacados en el segundo y tercer trimestre. Algunos de los hackeos de servicios centralizados más infames incluyen DMM Bitcoin (mayo de 2024, USD 305 millones) y WazirX (julio de 2024, USD 234.9 millones).
Al cierre de esta edición, el equipo de Moonwell no ha emitido una declaración oficial sobre el incidente o los posibles reembolsos a los usuarios. Este ataque se suma a la creciente lista de violaciones de DeFi de alto perfil en 2024, donde los malos actores han explotado repetidamente las lagunas del protocolo para beneficio personal. Los expertos en seguridad sugieren defensas multicapa mejoradas, auditorías contractuales periódicas y estrategias sólidas de respuesta a incidentes para disminuir los riesgos futuros.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
