Bedrock DeFi fue hackeado para obtener USD 1,7 millones en uniBTC mediante un exploit detracinteligente

Bedrock DeFi, un protocolo DeFi basado en Bitcoincon un activo encapsulado, sufrió un robo de $1.7 millones. El robo de uniBTC ocurrió tan solo un día después de un ataque contra Onyx Finance. 

Bedrock DeFi fue víctima de una vulnerabilidad de $1.7 millones en uniBTC, ya que el pool de resttaking se agotó mediante un exploit de contrato inteligentetracTras investigar el ataque, Bedrock desactivó el contrato inteligente problemáticomatic evitandotracexploits .El hacker logró acuñar uniBTC sin límites, lo que potencialmente expuso todos los pools y pares de trading relacionados.

El exploit fue descubierto inicialmente por el equipo de análisis de Dedaub, que inmediatamente intentó contactar con los desarrolladores de Bedrock. Sin embargo, menos de tres horas después, otro atacante aplicó ese conocimiento y creó un exceso de uniBTC.

Bedrock DeFi anunció que el exploit solo afectó a uniBTC, otra forma tokenizada de BTC. Las reservas subyacentes permanecen seguras y el protocolo ha resuelto el problema. La plataforma mantiene más de $243 millones en activos staking de diversas redes, incluyendo Bitcoin y Ethereum. Bedrock DeFi buscaba ofrecer re-staking líquido multicadena, donde los activos inactivos podían generar ingresos pasivos. 

El activo tokenizado uniBTC es untracERC-20 en la cadena Ethereum . El BTC encapsulado se almacena en 3552 direcciones y tiene una capitalización de mercado total de 75,4 millones de dólares. Poco después del exploit, algunos pares descentralizados experimentaron una actividad extraordinaria. 

Existen versiones de uniBTC en un total de ocho redes, y algunos protocolos como Pendle tienen una exposición de hasta $30 millones al activo, al igual que el protocolo Corn. Untracvulnerable similar para la acuñación de uniBTC estaba creando amenazas en Ethereum, Binance, Arbitrum, la red principal de Optimism, Mantle, Mode, BOB y ZetaChain. Investigadores de Dedaub advirtieron a Pendle, lo que evitó que la mayor parte del valor bloqueado fuera explotado como liquidez de salida.

El hackeo de uniBTC causó cierto contagio en los exchanges descentralizados. Uno de los pools de Uniswap V3 vio caer su precio a $17,889.15, mientras que otro par se cotizó con un descuento menor, a $62,311.48. La versión Optimism del par descentralizado se desplomó un 90%, cayendo por debajo de $18,000. El activo incluso alcanzó un nuevo mínimo de $5,741.48. La presión de venta prevalece, impidiendo los intentos de arbitraje debido a la baja liquidez de los pares. 

La caída del tipo de cambio real podría haber perjudicado aún más al protocolo, dañando también su reputación. Horas después del ataque, uniBTC no había recuperado su paridad con WBTC, que conforma la mayoría de los pares de divisas. 

Al igual que con otras vulnerabilidades, los comentarios falsos en redes sociales solicitaban el uso de un sitio web de revocación. Los usuarios de billeteras se enfrentan a riesgos adicionales derivados de estos enlaces maliciosos, que podrían agotar los activos restantes. 

Un hacker explotó la llamada de Bedrock altracde uniBTC 

El exploit afectó al tokenizado uniBTC, respaldado por BTC y WBTC. Investigadores como Dedaub afirmaron haber detectado la función potencial para explotar Bedrock, pero el ataque ocurrió horas después de la advertencia.

Dedaub señaló que un actor malicioso podría crear infinitos y atacar bóvedas y pares descentralizados. El ataque podría afectar a Pendle y Corn, además de Bedrock DeFi. El atacante podría depositar una pequeña cantidad de ETH y generar uniBTC a un tipo de cambio diferente. El activo recién generado sería totalmente transferible y podría revenderse por más WBTC en Uniswap u otros protocolos descentralizados. 

Otro investigador, Chaofan Shou, señaló que eltracuniBTC era vulnerable a una llamada de función. La suma en riesgo se agotó precisamente unas horas antes del análisis. 

Podrías usar ItyFuzz para generar un exploit completamente funcional que robe hasta $1,7 millones de @Bedrock_DeFi uniBTC.

Y todo lo que se necesita es un núcleo de CPU + 0,5 s. pic.twitter.com/SMMD1MSbvT

— Chaofan Shou (@Fried_rice) 27 de septiembre de 2024

Las llamadas a contratos inteligentestracsiendo uno de los mayores riesgos, especialmente después de aumentar el valor bloqueado en DeFi . El ataque contra Bedrock DeFi ocurrió cuando el valor total bloqueado del protocolo estaba cerca de un máximo histórico de 243 millones de dólares.

Lo que salvó el protocolo fue la naturaleza no custodial del staking, que permitió al hacker robar el activo encapsulado y afectar los fondos de liquidez de los DEX, pero no las reservas subyacentes. El BTC encapsulado suele usar monederos fríos y no es fácil de intercambiar por el activo original. 

Bedrock utiliza Babylon Labs y Eigen Layer para lograr su estructura de recompensas. Estos protocolos liberan de forma segura el valor de BTC y ETH, sin exponer los activos directamente al riesgo. El uniBTC creado también podría utilizarse en Pendle y Velodrome para obtener rendimientos pasivos. 

La mayoría de los ataques de las últimas semanas han sido contra DeFibasadas en Ethereum. El ataque actual afectó a un activo derivado Bitcoin, aunque este aún utiliza la blockchain Ethereum para la mayor parte de las transferencias de valor.

Informe Cryptopolitan de Hristina Vasileva