Un ciberdelincuente ha robado 76 millones$ (70,3 millones€) al protocolo de ‘stablecoin’ descentralizado (DeFi) basado en crédito, Beanstalk Farms, a través de un préstamo flash y en apenas 13 segundos.

El ataque a Beanstalk Farms ha sido publicado por PeckShield en Twitter. Posteriormente, la cuenta oficial de Beanstalk Farms lo ha confirmado: el atacante usó «un préstamo rápido para explotar el mecanismo de gobierno del protocolo y enviar los fondos a una billetera que controlaba».

Un préstamo flash permite a los usuarios pedir prestadas grandes sumas de criptomonedas por periodos muy cortos de tiempo y debe ser reembolsado antes de finalizar la transacción. Se ofrecen mediante protocolos de finanzas descentralizadas (DeFi) basados en Ethereum, y su principal propósito es proporcionar liquidez o aprovechar la arbitrariedad de los precios en un momento determinado.

La operación que ha afectado a Beanstalk Farms ha sido posible gracias a un préstamo flash obtenido a través del protocolo descentralizado Aave de cerca de 1.000 millones$  (926,4 millones€) en activos, según el análisis de la firma de seguridad de la blockchain CertiK.

Los fondos prestados al atacante se intercambiaron por ‘judías’, que son las recompensas que reciben los usuarios por contribuir con activos a un gran fondo de financiación que es utilizado para equilibrar el valor de un token.

El ataque se ha aprovechado de un ‘exploit’ en el mecanismo de gobernanza presente en Beanstalk y otros muchos proyectos DeFi. Por él, los participantes pueden votar para cambiar el código de la plataforma y reciben derechos de voto en proporción al valor de los tokens que tienen.

El atacante ha utilizado las ‘judías’ ganadas con su intercambio para tener un 67% de los votos de Beanstalk Farms y así aprobar la ejecución del código que ha transferido los activos a su propia cartera.

Beanstalk ha tratado de recuperar los fondos robados con una oferta al atacante publicada en su perfil de Twitter. Si devuelve el 90%, se le entregará el 10% restante en calidad de recompensa ‘Whitehat’, acuerdo que ofrecen muchas organizaciones, páginas web y desarrolladores a los individuos que reportan fallos y vulnerabilidades en su plataforma.