Comprar criptomonedas
Pagar con
USD
Compra y venta
HOT
Compra y vende criptomonedas a travésde Apple Pay, tarjetas, Google Pay, transferencias bancarias y más
P2P
0 Fees
¡Cero tarifas, más de 400 opciones de pago y compra y venta de criptomonedas sin complicaciones!
Gate Card
Tarjeta de pago con criptomonedas que permite efectuar transacciones internacionales fácilmente
Operar
Tipo de trading
Spot
Opera con criptomonedas libremente
Alpha
Puntos
Consigue tokens prometedores en operaciones on-chain simplificadas
Premercado
Opera con nuevos tokens antes de que selisten oficialmente
Margen
Multiplica tus beneficios con el apalancamiento
Conversión y trading en bloques
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
Tokens apalancados
Obtén exposición a posiciones apalancadas de forma sencilla
Contrato
Contrato
Puntos
Cientos de contratos liquidados en USDT o BTC
Opciones
HOT
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Comienzo del trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Participa en eventos para ganar generosas recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Earn
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Launchpad
Anticípate a los demás en el próximo gran proyecto de tokens
Puntos Alpha
New
¡Opera con activos on-chain y recibe recompensas por airdrop!
Puntos de futuros
New
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Compra a la baja y vende al alza para aprovechar las fluctuaciones de los precios
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
New
La gestión patrimonial personalizada potencia el crecimiento de tus activos
Gestión patrimonial privada
Gestión de activos personalizada para hacer crecer sus activos digitales
Quant Fund
El mejor equipo de gestión de activos te ayuda a obtener beneficios sin complicaciones
Staking
Haz staking de criptomonedas para ganar en productos PoS
BTC Staking
HOT
Haz staking de BTC y gana un 10•% de APR
Acuñación de GUSD
New
Usa USDT/USDC para acuñar GUSD y obtener rendimientos a nivel tesorería
Más
- Temas de actualidadVer más
22.63K Popularidad
67.17K Popularidad
35.97K Popularidad
8.37K Popularidad
18.77K Popularidad
- Anclado
¡Balancer sufre un ataque de 116 millones de dólares! 11 auditorías fallidas desatan una Crisis de confianza en las Finanzas descentralizadas.
El intercambio descentralizado y el AMM Balancer fueron atacados, lo que resultó en el robo de 116 millones de dólares en activos digitales, lo que provocó una crisis de confianza en DeFi. Desde 2021, las empresas de seguridad OpenZeppelin, Trail of Bits, Certora y ABDK han auditado los contratos inteligentes de Balancer en 11 ocasiones, pero aún así se robaron fondos.
Detalles técnicos del ataque de vulnerabilidad de 116 millones de dólares
(Fuente: Lookonchain)
El incidente de explotación informado más temprano el 3 de noviembre resultó en el robo de más de 116 millones de dólares en Ether apostado. Según los registros de Etherscan, los tokens fueron transferidos a una nueva billetera a través de tres transacciones. Nansen señaló en una publicación en X el lunes que esta transferencia incluye 6,850 ETH apostados de StakeWise (OSETH), 6,590 Wrapped Ether (WETH) y 4,260 Lido wstETH (wSTETH).
Según la plataforma de datos de blockchain Lookonchain, hasta el lunes a las 8:52 UTC, este continuo ataque ha ampliado los fondos robados a más de 116,6 millones de dólares. Nicolai Sondergaard, analista de investigación de Nansen, le dijo a Cointelegraph que la vulnerabilidad de Balancer podría deberse a un problema con los contratos inteligentes, el cual presenta “errores de verificación de acceso que permiten a los atacantes enviar comandos para extraer fondos”. También añadió: “Según mis observaciones, las pérdidas ya han superado los 100 millones de dólares e impactan a Balancer V2 y sus diversas versiones bifurcadas.”
Las vulnerabilidades de control de acceso son uno de los defectos de seguridad más comunes pero también más mortales en los contratos inteligentes. Este tipo de vulnerabilidades permite a los usuarios no autorizados invocar funciones que deberían estar restringidas, lo que les permite realizar operaciones privilegiadas, como retirar fondos, modificar parámetros o destruir tokens. En el caso de Balancer, el atacante aparentemente aprovechó un error de verificación de acceso en la piscina de estabilidad combinable V2, eludiendo el mecanismo normal de verificación de permisos y retirando directamente los activos apostados en la piscina.
Balancer actualizó a los usuarios sobre la vulnerabilidad en un post X publicado el lunes, afirmando que el incidente “está limitado a los grupos estables combinables V2 y no afectará a Balancer V3 ni a otros grupos de Balancer”. Esta declaración tiene como objetivo calmar a los usuarios y evitar que el pánico se extienda por todo el protocolo. Sin embargo, dado que el grupo estable combinable V2 es uno de los productos centrales de Balancer, el impacto de su ataque sigue siendo extremadamente grave.
¿Por qué 11 auditorías no pudieron prevenir el ataque?
La plataforma también indicó que “ha aceptado auditorías extensas de empresas de primer nivel y ha tenido durante mucho tiempo un programa de recompensas por vulnerabilidades para incentivar a los auditores independientes”, lo que plantea dudas sobre cómo se aprovechó esta vulnerabilidad. “Balancer ha pasado por más de diez auditorías”, dijo Suhail Kakar, responsable de relaciones con desarrolladores de la cadena de bloques TAC, “el tesoro ha sido auditado por diferentes empresas tres veces, pero aún así fue atacado por hackers, con pérdidas de hasta 110 millones de dólares. Este campo necesita entender que 'haber sido auditado por X' es prácticamente insignificante. El código es difícil, y DeFi es aún más difícil.”
Según la lista de auditorías de Balancer V2 proporcionada en GitHub, cuatro diferentes empresas de seguridad —OpenZeppelin, Trail of Bits, Certora y ABDK— han realizado 11 auditorías de los contratos inteligentes de la plataforma, siendo la más reciente la auditoría de su piscina estable por parte de Trail of Bits en septiembre de 2022. Esta frecuencia de auditoría se considera un nivel muy alto en los protocolos de Finanzas descentralizadas, pero aún así no puede prevenir la ocurrencia de ataques.
Este caso revela las limitaciones fundamentales de la auditoría de contratos inteligentes. En primer lugar, la auditoría suele ser puntual, lo que significa que solo puede detectar problemas existentes en el momento de la auditoría, sin poder cubrir actualizaciones de código posteriores o mejoras en el protocolo. En segundo lugar, las capacidades de los auditores y el tiempo que pueden dedicar son limitados; los contratos inteligentes complejos pueden contener miles de líneas de código y lógicas interactivas complejas, lo que dificulta que los auditores detecten todas las vulnerabilidades potenciales. En tercer lugar, ciertas vulnerabilidades solo se manifiestan bajo condiciones de mercado específicas o en escenarios de interacción particulares, mientras que la auditoría generalmente solo puede probar un número limitado de escenarios.
Las cinco limitaciones del sistema de auditoría DeFi
Problemas de puntualidad: Las actualizaciones de código después de la auditoría pueden introducir nuevas vulnerabilidades.
Desafíos de complejidad: miles de líneas de código y lógica compleja son difíciles de revisar completamente.
Cobertura de escenarios insuficiente: no se pueden probar todas las combinaciones de interacción posibles
Desajuste de incentivos económicos: los costos de auditoría son fijos, no se otorgan recompensas adicionales por descubrir vulnerabilidades
Responsabilidad difusa: Los informes de auditoría suelen tener cláusulas de exención de responsabilidad, y después de que ocurre un problema, las empresas de auditoría rara vez asumen la responsabilidad.
Cointelegraph se ha puesto en contacto con OpenZeppelin para solicitar comentarios, pero no ha recibido respuesta hasta el momento de la publicación. Un portavoz de Trail of Bits se negó a comentar sobre esta vulnerabilidad, “hasta que se determine la causa raíz y se asegure que todas las bifurcaciones de Balancer son seguras”. Esta actitud de precaución es comprensible, ya que comentarios prematuros podrían dar lugar a disputas de responsabilidad legal.
20% Estrategia de recuperación de recompensas de sombrero blanco y amenazas de aplicación de la ley
(fuente: Etherscan)
Para recuperar los fondos, el equipo detrás de Balancer ofrece una recompensa de hasta el 20% de los fondos robados, siempre que el monto total, después de deducir la recompensa, sea devuelto de inmediato. Esta estrategia de recompensa de “white hat” ha tenido múltiples casos de éxito en el campo de DeFi, como el caso de Poly Network, que, tras ser robado 610 millones de dólares en 2021, logró recuperar todos los fondos a través de negociaciones. Sin embargo, si el 20% de recompensa es suficiente para atraer a los atacantes a devolver los fondos depende de la identidad y motivación del atacante.
El equipo de Balancer publicó el lunes un aviso de transacciones en la blockchain, indicando a los atacantes que si devuelven la totalidad de los fondos robados dentro de las 48 horas posteriores a la publicación del aviso, ofrecerán una recompensa de hasta el 20% de los fondos robados como recompensa de sombrero blanco. La ventana de tiempo de 48 horas está diseñada para crear un sentido de urgencia, impulsando a los atacantes a tomar decisiones rápidas. Sin embargo, este límite de tiempo también podría ejercer presión sobre los atacantes, obligándolos a acelerar la transferencia de fondos, lo que a su vez aumenta la dificultad de recuperar los bienes.
Balancer dijo: “Si elige no cooperar, hemos contratado a un experto independiente en certificación de blockchain y estamos colaborando activamente con múltiples agencias de aplicación de la ley y socios reguladores.” Balancer declaró el lunes en un comunicado sobre transacciones en blockchain: “Nuestros socios están altamente convencidos de que a través de los metadatos de los registros de acceso recopilados por nuestra infraestructura, se puede identificar su identidad; estos metadatos mostrarán conexiones de un conjunto definido de direcciones IP/ASN, así como marcas de tiempo de entrada relacionadas con la actividad de transacción en la cadena.”
Esta estrategia de amenazas es efectiva en ciertos casos, pero también puede tener el efecto contrario. Si los atacantes son un equipo de hackers profesionales, normalmente ya han tomado medidas adecuadas de anonimato, incluyendo el uso de VPN, redes Tor y servicios de mezcla. Aunque la forensía de blockchain puede rastrear el flujo de fondos, sigue siendo extremadamente difícil determinar la verdadera identidad de los atacantes. Hasta el momento de redactar este informe, el proyecto no ha publicado ninguna actualización sobre detalles de recompensas o explotación de vulnerabilidades.
Los eventos de ataque históricos de Balancer revelan problemas de seguridad sistémicos
No es la primera vez que Balancer sufre un ataque. Hace dos años, el sitio web frontend de Balancer fue objeto de un ataque de sistema de nombres de dominio (DNS), y el protocolo reveló la situación en ese momento. Los hackers redirigieron a los usuarios del sitio web a un sitio de phishing, que estaba asociado con un contrato inteligente malicioso, diseñado para robar los fondos de los usuarios. Según el investigador de blockchain ZachXBT, durante este ataque de phishing, se robaron activos digitales por un valor de aproximadamente 238,000 dólares.
En agosto de 2023, Balancer sufrió un ataque de vulnerabilidad de casi 1 millón de dólares, y solo una semana antes, el protocolo había revelado una “vulnerabilidad crítica” relacionada con algunos de sus pools de liquidez. Este patrón de “vulnerabilidad revelada y luego atacada” es extremadamente irónico y muestra que puede haber problemas en el propio proceso de divulgación de vulnerabilidades. Después de hacer pública la vulnerabilidad, el protocolo necesita dar a los usuarios tiempo para migrar fondos o actualizar contratos, pero esta ventana de tiempo también brinda a los atacantes la oportunidad de aprovechar la vulnerabilidad.
En junio de 2020, Balancer fue víctima de un ataque cibernético, y se robaron 500,000 dólares en Ether y otros tokens. Este fue un ataque de préstamo relámpago basado en el token deflacionario Statera (STA), donde el 1% de cada transacción se destruye automáticamente. Este ataque aprovechó un defecto lógico en el manejo de tokens deflacionarios por parte de Balancer, y el atacante amplificó el impacto de este defecto a través del préstamo relámpago.
Tras la aparición de la vulnerabilidad en Balancer, los validadores detrás de la blockchain de Berachain detuvieron urgentemente la operación de la red para llevar a cabo una actualización de emergencia o un hard fork. La Fundación Berachain escribió en un artículo de X publicado el lunes que este hard fork de emergencia tiene como objetivo resolver la vulnerabilidad de Balancer relacionada con ciertos activos en el DEX nativo de Berachain. “Esta suspensión del intercambio fue cuidadosamente planificada, y una vez que se recuperen todos los fondos afectados, la red volverá a funcionar rápidamente.” Esta reacción en cadena muestra que la vulnerabilidad de Balancer no solo afecta a sí misma, sino que también amenaza a los proyectos bifurcados que utilizan su código.