En Resumen

  • Polter Finance sufrió un hackeo que drenó la mayor parte de sus activos, con pérdidas que superaron los $12 millones.
  • El ataque manipuló los mecanismos de fijación de precios de tokens, usando oráculos para inflar el precio de BOO.
  • La plataforma ha colaborado con SEAL-ISAC para rastrear al hacker y ha ofrecido negociar si se devuelven los fondos robados.

La plataforma de préstamos descentralizados Polter Finance sufrió una explotación devastadora en la blockchain de Fantom, lo que básicamente eliminó la mayor parte de sus activos.

La brecha, descubierta el domingo temprano, involucró la manipulación de los mecanismos de fijación de precios de tokens de la plataforma, dejando a sus usuarios en shock.

El atacante comenzó canalizando fondos a través de Tornado Cash, un mezclador de monedas basado en Ethereum que oculta el origen de los fondos. Estos activos fueron luego transferidos de Ethereum a la red Fantom, donde se ejecutó la explotación.

AD

Una vez identificada la brecha, Polter Finance tomó medidas inmediatas pausando su plataforma para contener el daño y notificó a los operadores clave de puente.

El fundador de Polter Finance, conocido como “Whichghost”, presentó una denuncia policial en Singapur tras la brecha. El hackeo resultó en pérdidas que superan los 16,1 millones de SGD (aproximadamente $12 millones de USD).

El contrato inteligente recién implementado en la plataforma fue explotado, lo que causó transacciones no autorizadas que drenaron los activos de los usuarios, dice el informe. El fundador también reportó pérdidas personales de $223.219.

Mientras que el informe policial afirma pérdidas totales de alrededor de $12 millones, otros informes de firmas de seguridad web3 sugieren que la cantidad real robada fue cercana a $7 millones.

AD

Según los datos de DeFi Llama, el TVL de Polter Finance era aproximadamente de $9,7 millones antes del ataque, lo que indica pérdidas sustanciales.

En un comunicado en X (anteriormente Twitter), el equipo escribió, "Identificamos las billeteras involucradas y las rastreamos hasta Binance. Todavía estamos investigando la naturaleza de la explotación. Estamos en proceso de contactar a las Autoridades."

La plataforma también envió un mensaje on-chain al atacante, diciendo que el equipo estaría dispuesto a negociar sin emprender acciones legales si los fondos robados son devueltos.

Expertos en seguridad de Web3 creen que la causa raíz del exploit estaba vinculada a un ataque de manipulación de precios utilizando oráculos, fuentes de datos externas que las plataformas utilizan para determinar los precios de los tokens.

La firma de auditoría de contratos inteligentes QuillAudits compartió sus hallazgos con Decrypt, demostrando que la vulnerabilidad estaba relacionada con la forma en que Polter Finance calculaba el valor del token BOO de SpookySwap.

“El precio del token BOO de SpookySwap en el pool de préstamos se determinaba por el precio spot el pool SpookySwap v3 y el par v2; calculado en base a la proporción de saldo de tokens en el pool,” dijo QuillAudits a Decrypt.

Al aumentar artificialmente el precio del token BOO, el hacker podía depositar una cantidad muy pequeña (solo 1 token BOO) y retirar una cantidad mucho mayor de otros activos, drenando efectivamente la plataforma de sus fondos.

AD

“Este caso ejemplifica una manipulación clásica de Oracle. El precio del token BOO es manipulado por el atacante usando un préstamo flash para inflar artificialmente el precio del token BOO”, dijo Hakan Unal, Científico Blockchain Senior en Cyvers Ai, a Decrypt.

Polter Finance anunció que desde entonces ha colaborado con el Security Alliance Information Sharing and Analysis Center (SEAL-ISAC) para rastrear al hacker.

Este incidente se suma a la creciente lista de brechas de seguridad en el sector de las criptomonedas. La cantidad total perdida por los exploits ha superado los $2.000 millones en 2024, con vulnerabilidades de código que resultaron en $39,6 millones en pérdidas en más de 44 incidentes, según un reciente informe de Certik.

Editado por Stacy Elliott.

Stay on top of crypto news, get daily updates in your inbox.