En uno de los ataques más sofisticados al ecosistema de finanzas descentralizadas (DeFi) de este año, hackers explotaron una vulnerabilidad en el protocolo DeFi ResupplyFi, lo que resultó en pérdidas por 9,5 millones de dólares (aproximadamente 8,9 millones de euros).
El incidente, detectado por BlockSec Phalcon, afectó específicamente el mercado de wstUSR y expuso graves fallos en los mecanismos de seguridad de los préstamos descentralizados.
Manipulación matemática permite el golpe millonario
Los atacantes concentraron sus esfuerzos en el token cvcrvUSD, un activo poco negociado respaldado por la stablecoin de Curve Finance, explotando un pool de liquidez casi vacío. Luego, depositaron grandes cantidades del token sin el equivalente en USDC, distorsionando artificialmente su valor de mercado.
Los pools de liquidez son reservas de tokens que permiten transacciones descentralizadas, donde el precio de los activos es determinado automáticamente por algoritmos matemáticos. En el caso del ataque a ResupplyFi, los atacantes eligieron intencionadamente un pool con poca o ninguna liquidez de cvcrvUSD, ya que en estos entornos escasos, una única transacción grande puede distorsionar violentamente los precios.
Al inyectar una cantidad masiva del token cvcrvUSD sin agregar el equivalente en stablecoins, los delincuentes manipularon artificialmente la cotización. Esto creó la brecha que permitió el préstamo millonario con una garantía irrisoria.
El protocolo DeFi, al utilizar estos valores distorsionados en sus cálculos de forma invertida, interpretó erróneamente que 1 wei de cvcrvUSD (la unidad más pequeña posible, equivalente a 0,000000000000000001 del token) representaba un valor millonario.
Esta falla permitió que los delincuentes obtuvieran un préstamo de 10 millones de dólares (aproximadamente 9,4 millones de euros) en reUSD con una garantía mínima, burlando completamente los controles de solvencia del protocolo.
Ruta de escape compleja
Después del exitoso ataque, los hackers rápidamente convirtieron los recursos a USDC a través de las plataformas Curve y Uniswap, y luego los transformaron en Wrapped Ethereum (WETH). Esta operación generó una ganancia líquida estimada de 9,5 millones de dólares (aproximadamente 8,9 millones de euros), según análisis especializados.
Además, la investigación de PeckShield reveló una estrategia sofisticada de lavado: los delincuentes iniciaron el proceso con una transacción de 2 ETH en Cow Swap, dirigiendo los valores hacia Tornado Cash, un servicio conocido por dificultar el rastreo de criptoactivos. Después de esta etapa de anonimización, los fondos fueron destinados a un contrato especialmente diseñado para explotar la vulnerabilidad de ResupplyFi.
Un informe de CertiK destacó que los productos del robo fueron posteriormente divididos en dos billeteras distintas: 5,56 millones de dólares (aproximadamente 5,2 millones de euros) para una dirección y 4 millones de dólares (aproximadamente 3,7 millones de euros) para otra, completando la operación con éxito. Este caso sirve como alerta para la necesidad de un mayor control en los mecanismos de verificación de precios y liquidez en los protocolos DeFi, especialmente en mercados menos activos.
