La seguridad en el ecosistema de las finanzas descentralizadas (DeFi) ha sido puesta a prueba recientemente por dos incidentes que, aunque distintos en su naturaleza, subrayan la compleja balanza entre innovación y resguardo de activos. Un operador del protocolo Venus Protocol sufrió una pérdida cercana a los 30 millones de dólares debido a un error de usuario facilitado por un ataque de phishing, mientras que Bunni DEX, un intercambio descentralizado, experimentó un exploit que drenó más de 8.4 millones de dólares.

Estos sucesos destacan la bifurcación entre las vulnerabilidades sistémicas en los protocolos y la imperiosa necesidad de una educación robusta para los usuarios en este entorno de alto riesgo.

Error colosal de usuario en Venus Protocol por phishing

Un incidente significativo sacudió a la comunidad de Venus Protocol, resultando en la pérdida de aproximadamente 27 millones de dólares en criptoactivos por parte de un usuario. Inicialmente, las sospechas se centraron en una posible brecha de seguridad del protocolo; sin embargo, analistas de seguridad blockchain como Cyvers confirmaron que el incidente fue consecuencia de un error humano, específicamente, la víctima sucumbió a una estafa de phishing.

¿Cómo ocurrió el ataque?

La firma de seguridad PeckShield fue la primera en alertar sobre la actividad inusual, detallando que el atacante obtuvo acceso a los fondos al inducir al usuario a aprobar una transacción maliciosa. Esta aprobación otorgó permisos ilimitados para transferir activos desde la cartera comprometida. Los fondos robados incluyen:

• 19.8 millones de dólares en vUSDT.
• 7.15 millones de dólares en vUSDC.
• 146.000 dólares en vXRP.
• 22.000 dólares en vETH.
• 285 BTCB.

Estos montos representan, según algunos observadores, una “riqueza generacional” perdida en un instante.

El analista de DeFi, Ignas, reafirmó que Venus Protocol funcionó según lo esperado y que la vulnerabilidad se originó en las autorizaciones pre-aprobadas de la cartera comprometida. Como bien señaló el analista Crypto Jargon, “una aprobación errónea y ¡bum!, se acabó. Esa es la cara oscura de DeFi: las aprobaciones abiertas son poderosas, pero también mortales si no se es cuidadoso”.

Este sentimiento ha resonado en la comunidad, lo que ha llevado a un resurgimiento de las advertencias sobre las mejores prácticas de seguridad, como revocar regularmente las autorizaciones de tokens, evitar enlaces no verificados y utilizar hardware wallets en lugar de depender únicamente de las carteras calientes.

Hakan Unal, jefe de operaciones de seguridad en Cyvers, comentó: “Este incidente demuestra que incluso los usuarios experimentados de DeFi siguen siendo vulnerables a sofisticados esquemas de phishing. Al engañar a la víctima para que concediera aprobaciones de tokens, el atacante pudo drenar 27 millones de dólares de un usuario de Venus Protocol en una única transacción”. Los fondos robados, hasta el momento, no han sido intercambiados y permanecen en la dirección del contrato del atacante.

Exploit en Bunni DEX: una vulnerabilidad a nivel de protocolo

En contraste con el incidente de Venus Protocol, Bunni DEX, un intercambio descentralizado basado en Uniswap v4, sufrió un exploit que resultó en el drenaje de más de 8.4 millones de dólares en Ethereum y UniChain. A diferencia del caso anterior, esta fue una vulnerabilidad genuina a nivel de protocolo.

Bunni reaccionó rápidamente, anunciando la pausa de todas las funciones de los contratos inteligentes en sus redes mientras su equipo investiga el incidente. “La aplicación Bunni se ha visto afectada por un exploit de seguridad. Como precaución, hemos pausado todas las funciones de los contratos inteligentes en todas las redes”, confirmó el equipo.

Mecanismo del ataque

Según GoPlus Security, el exploit se originó en debilidades dentro de la Función de Distribución de Liquidez (LDF) personalizada de Bunni. Victor Tran, un desarrollador de blockchain, ofreció una explicación detallada sobre cómo el atacante manipuló la curva con operaciones cuidadosamente dimensionadas.

Tran explicó que Bunni, como un hook de liquidez que opera sobre Uniswap v4, utiliza su propia curva de liquidez (LDF) en lugar del sistema normal de Uniswap v4. Después de cada operación, Bunni verifica si su curva LDF ha cambiado desde la última operación. Si es así, se activa un proceso de recalibración.

El atacante aprovechó este mecanismo para activar repetidamente cálculos erróneos durante el reequilibrio de liquidez, lo que le permitió retirar más tokens de los que debería. Este proceso culminó con dos pasos de intercambio finales para completar el ataque. Es importante destacar que, aunque el hook de Bunni fue comprometido, Uniswap v4 en sí mismo no fue afectado.

Lecciones aprendidas y el futuro de la seguridad en DeFi

Estos dos incidentes son un claro recordatorio de la frágil balanza entre la innovación continua y la necesidad crítica de seguridad en el sector de las finanzas descentralizadas. El caso de Venus Protocol resalta el elemento humano, donde un simple error de juicio o la falta de diligencia pueden resultar en pérdidas catastróficas. Por otro lado, el exploit de Bunni ilustra cómo incluso las más mínimas fallas en mecanismos innovadores pueden exponer la liquidez a riesgos importantes.

A medida que el sector DeFi sigue expandiéndose y gestionando miles de millones de dólares, la educación del usuario y el rigor en el desarrollo de protocolos se vuelven aún más cruciales. En un mercado donde hay tanto en juego, un único error, ya sea humano o técnico, puede tener consecuencias devastadoras.

Es imperativo que tanto los usuarios como los desarrolladores de protocolos adopten un enfoque proactivo hacia la seguridad. La concienciación sobre los riesgos de phishing, la implementación de auditorías de seguridad exhaustivas para los contratos inteligentes y el fomento de una cultura de cautela son pasos fundamentales para mitigar los peligros inherentes al entorno DeFi.