El pasado domingo un hacker logró hacerse con hasta 182 millones de dólares en criptomonedas en menos de 13 segundos tras aprovechar el sistema de gobernanza del proyecto Beanstalk Farms, convirtiéndolo en uno de los robos más rápidos de la historia.
Beanstalk Farms es un proyecto de finanzas descentralizado (DeFi) que tiene como objetivo equilibrar la oferta y la demanda de diferentes activos digitales. Su funcionamiento se basa en un sistema en el que los participantes ganan recompensas al contribuir a un fondo central, Silo, utilizado para equilibrar el valor de un token a lo que es 1 dólar.
Como es frecuente en este tipo de proyectos DeFi, tienen un sistema de gobernanza diseñado para que los participantes puedan votar sobre los cambios en el código. Dependiendo de los tokens que posea cada usuario, tendrá más poder en la votación, algo que ha terminado siendo su caballo de Troya.
El ataque fue descubierto por PeckShield, una compañía especializada en el análisis del blockchain, quien rápidamente informó a Beanstalk Farms de lo ocurrido, los cuales confirmaron el ataque y el robo poco después.
Al parecer el modus operandi de este robo, se debe principalmente a lo que se conoce en el mundo de los DeFi como un "flash loan" o préstamo relámpago, una técnica que te permite tomar prestado enormes cantidades de dinero en criptomonedas en un periodo de tiempo muy corto, en minutos y en algunas ocasiones pueden ser segundos.
El hacker en cuestión pidió un flash loan de aproximadamente mil millones en criptomonedas, los cuales utilizó para intercambiarlos por tokens de Beanstalk y hacerse con el 67 % del poder de voto. Después, y gracias a tener la mayoría de la participación, aprobó la ejecución del código para transferir todas las reservas del proyecto a su propia cartera virtual para acto seguido devolver el préstamo.
En total se calcula que el hacker robó alrededor de 182 millones de dólares, que después de devolver el flash loan, se quedó con alrededor de 80 millones netos para él. Todo esto ocurrió en tan solo 13 segundos.
Los propios desarrolladores de Beanstalk Farm han admitido que no contaban con un ataque basado en un flash loan, a pesar de que es un ciberataque cada vez más común, y que no disponen de las reservas ni provisiones para corregirlo por lo que todos aquellos que tuvieran activos en este proyecto los han perdido para siempre.