Resolución del problema de 25 millones de dólares: un análisis de flujo del ataque contra el sistema de moneda estadounidense de 80 millones de dólares.

El ataque fue un ejemplo claro de cómo se puede aprovechar una vulnerabilidad para obtener beneficios enormes. Se logró convertir un depósito de 300 mil dólares en una suma de 25 millones de dólares, gracias a un único parámetro no verificado por el sistema. El atacante inició tres solicitudes de swap, y así logró obtener los beneficios deseados.100 mil USD/CAD por cada transacción.Pero esto provocaba que el backend tuviera que crear 50 millones de tokens USR cada vez. Esto causó una diferencia de 500 veces mayor entre el valor depositado y los tokens creados. Este error permitió al atacante crear más de 80 millones de tokens USR con solo 300 mil dólares como capital inicial.

La vulnerabilidad principal radicaba en la falta de una verificación en cadena. Aunque el depósito se realizó en cadena, la cantidad de USR que debía ser emitida fue proporcionada como un parámetro sin verificación por parte de un backend fuera de la cadena, que tenía acceso privilegiado. El proceso de dos pasos del protocolo permitió que esto ocurriera._La dirección del rol podría indicar cualquier cantidad de moneda después del depósito, sin que el contrato inteligente impusiera ningún tipo de validación proporcional. Este parámetro, que no estaba controlado en la cadena de bloques, constituyó el canal directo para llevar a cabo el ataque.

El impacto financiero inmediato fue una colapsación catastrófica del sistema de paridad entre las stablecoins. La inflación repentina de la oferta, que superó en 80 millones de tokens el nivel previo de la oferta circulante del protocolo, destruyó ese sistema de paridad. El precio de USR descendió de 1 dólar a tan solo…20 centavosA pesar de este colapso, el atacante logró obtener alrededor de 25 millones de dólares, lo que representa una rentabilidad de aproximadamente 83 veces el capital inicial invertido.

Los efectos colaterales: liquidez y daños causados por el colateral

El estado de cuenta del protocolo ahora está en una situación muy precaria. Con aproximadamente…95 millones de dólares en activos que respaldan una cantidad aproximada de 173 millones de dólares en suministros de tipo USR.La tasa de colateralización ha caído hasta el mínimo del 55%. Esto significa que el protocolo está subcolateralizado con más de 78 millones de dólares. Se trata de una situación grave, ya que esto socava la promesa fundamental de que el valor del protocolo sea estable.

En respuesta, el equipo ha tomado medidas drásticas para limitar los daños causados. Los contratos se han suspendido, y se ha advertido explícitamente a los usuarios que no comercien con USR. Las acciones de los usuarios durante el período posterior al ataque pueden afectar la recuperación de los activos restantes. Esta medida es un intento directo de preservar los activos restantes para un posible proceso de recompra. Probablemente, aquellos que posean activos antes del ataque podrán recuperar aproximadamente 93 centavos por cada dólar invertido, siempre y cuando actúen rápidamente.

Las ondas de choque se extenderán mucho más allá de los libros escritos por Resolv. Se espera que este ataque genere deudas incobrables en los mercados de préstamos DeFi, donde el USR se utiliza como garantía. Charles Guillemet, director técnico de Ledger, ha señalado que algunos pools de Morpho que utilizaban el USR como garantía ya han sido retirados de los mercados, lo cual es una clara señal del efecto contagio. Estas deudas incobrables probablemente afectarán también las cuentas de otros protocolos y sus proveedores de liquidez, convirtiendo un único incidente en un evento que afectará a toda la red de servicios financieros.

Catalizadores y riesgos: Lo que hay que tener en cuenta

El principal catalizador para cualquier tipo de recuperación es el proceso de redención. Aquellos que poseen USR antes del incidente y actúan rápidamente pueden recuperar aproximadamente…93 centavos por dólar.El protocolo facilita esto a través de un proceso de lista de permitidos. Los 95 millones de dólares que quedan como activos destinados a cubrir las necesidades legítimas de los usuarios, contribuyen a garantizar la equidad en este proceso de redención. Esto crea una situación en la que la velocidad y la equidad con las que se lleva a cabo esta redención determinarán el resultado financiero final para la base de usuarios originales del protocolo.

Uno de los principales riesgos es que se produzca un mayor pánico en el mercado. El ataque dejó que aproximadamente 71 millones de tokens ilegales continuaran circulando en el mercado, más allá de los ~9 millones que se “quemaron”. Esta enorme sobreoferta sigue ejerciendo presión sobre el precio del token, manteniéndolo muy por debajo de los 1 dólar. Las operaciones comerciales son caóticas; el rango de precios en un día es de entre 0.14 y 0.82 dólares. Esto indica que el mercado está luchando por determinar un precio adecuado para estas situaciones de incertidumbre. Cualquier presión de venta adicional podría hacer que los activos restantes se agoten más rápidamente, lo cual pondría en peligro la posibilidad de redimir esos tokens.

La lección más importante es la necesidad crítica de realizar monitoreos en tiempo real de los procesos relacionados con las cadenas de bloques. La pérdida de 25 millones de dólares no se debió a algún error en el contrato inteligente, sino a…Clave privada comprometidaSe utilizó código que no se encontraba en la cadena de bloques. La brecha entre el código auditado y el código que se ejecuta en tiempo real es el lugar donde ocurrió el ataque. Este incidente destaca que, incluso con un código perfecto, un protocolo solo puede ser seguro si sus mecanismos de detección y respuesta a las amenazas en tiempo real son eficaces.