Los degens de DeFi duramente afectados por el exploit de Eminence recibirán una compensación parcial

Todo empezó con un par de retuits.

El 28 de septiembre, Andrew Cronje, el jefe de Yearn Finanzas, retuiteó los diseños gráficos para un nuevo proyecto llamado Eminence, así descrito por Cronje como un protocolo de Finanzas descentralizadas (DeFi) para un “multiverso de juegos”. El juego supuestamente esun spin-off de un juego de cartas coleccionables de Kickstarter de 2016 llamado Eminence: Xander’s Tales y puede incorporar tokens no fungibles (NFT).

Los retuits incluyeron diseños gráficos de las palabras "Spartan" y "Marine" (guiños divertidos a los respectivos apodos dados a las bases de fans de Synthetix y Chainlink ) y fueron un "adelanto artístico" destinado a "mostrar todos los diferentes clanes en el juego", según Cronje.

Cronje pulsó "Enviar" en el tuit y se fue a dormir. Al despertar, descubrió que el tuit aparentemente era señal suficiente para que los usuarios de DeFi invirtieran 15 millones de dólares en DAI en el protocolo, que tenía pocos días de antigüedad y que, aunque estaba en la red principal de Ethereum, Cronje y su equipo aún estaban en fase de pruebas alfa. Eminence T siquiera tenía un sitio web que usara como interfaz para operar; los primeros usuarios, en cambio, intercambiaron tokens. directamente con los contratos inteligentes de Eminence.

Esa misma noche, un usuario explotó el código de Eminence y se llevó los 15 millones de dólares. Luego, el mismo atacante devolvió unos 8 millones de dólares en... DAIa un contrato inteligente de Yearn controlado por Cronje.

Ahora, menos de 72 horas después del exploit, los usuarios afectados han recuperado una parte de sus pérdidas.

La debacle y el posterior rescate no son los primeros casos de este tipo en DeFi. Y plantea la pregunta: ¿ Aprende la comunidad DeFi de sus errores?

Explicación del hackeo de Eminence

El exploit en sí, que ni siquiera era un hack, era bastante simple.

Los tokens EMN,generado por Yearn Deploy Los contratos inteligentes se distribuyeron inicialmente mediante una curva de enlace, un novedoso esquema de distribución de tokens utilizado por algunos productos DeFi. Estas curvas de enlace son contratos inteligentes que intercambian tokens con los usuarios finales, entregándolos ONE a cambio de otro.

En el caso de Eminence, los usuarios depositarían DAI en el contrato inteligente y recibirían EMN a cambio. Si el EMN se envía al contrato inteligente, se quema y el usuario recibe DAI a cambio.

También podría intercambiar EMN por otros cinco tokens (eAAVE, eLINK, eYFI, eSNX y eCRV, todas versiones encapsuladas por Eminence de los tokens populares con los mismos tickers). Al hacerlo, se quemarían los EMN depositados. A la inversa, si deposita estos tokens en sus respectivos contratos de curva de bonos, se queman y recibe los EMN recién acuñados.

Para explotar estos contratos, el atacante obtuvo un préstamo relámpago de 15 millones de DAI de Uniswap y lo utilizó para comprar EMN. Luego, intercambió y quemó la mitad de estos EMN por eAAVE, lo que elevó el precio de EMN. A partir de ahí, intercambió el resto de sus EMN por DAI, intercambió sus eAAVE para acuñar más EMN y, finalmente, intercambió estos EMN por DAI.

En el momento en que el atacante estaba realizando estos movimientos, alguien ya había desplegado EMN.pares comerciales en Uniswap.

Este proceso era repetido tres veces para obtener el hacker 15.015.533 DAI. Un ataque similar utilizando un préstamo flashse ejecutó contra el protocolo bZx en febrero.

Respuesta de Yearn Finance y redistribución de tokens

Sorprendentemente, después de todo ese esfuerzo, el atacante tuvo un ligero cambio de opinión: transfirió $8 millones en DAI a un contrato de Yearn Finanzas , que Cronje envió rápidamente a una multi-firma de Yearn.

Un puñado de desarrolladores, ONE de los cuales trabaja en Yearn, Se les ocurrió una manera de distribuir el DAI A los usuarios afectados por la caída del precio de EMN como resultado del exploit. Se están distribuyendo reparaciones en DAI a los usuarios que operan con EMN desde el contrato de Bonding Curve y Uniswap.

"Recibir [los tokens DAI ] fue como si nos hubieran regalado una bomba de relojería", declaró banteg, desarrollador CORE de Yearn, a CoinDesk. Añadió que el equipo trabajó con rapidez para distribuir los fondos para evitar que los usuarios afectados se inquietaran.

Banteg cree que la mayoría de los usuarios afectados estaban al tanto, ya que la mitad de la restitución se reclamó en los 19 minutos siguientes al lanzamiento del contrato de distribución. Solo $338,000 DAI aún no se han reclamado, según datos que Banteg compartió con CoinDesk.

Más allá del mal comportamiento del atacante, el fiasco se vio agravado por dos fuerzas impulsoras: la confianza y la codicia.

En sus tuits, Cronje nunca mencionó que el protocolo Eminence estuviera listo. T siquiera mencionó para qué servía. Pero un solo retuit del creador de Yearn —ese unicornio DeFi cuyo precio se disparó de 31 $ a más de 43 000 $ este año— fue suficiente para que los traders se abalanzaran sobre el token de Eminence.

Anhelando otro gran logro, los intrépidos usuarios de Eminence comenzaron a interactuar con el protocolo antes de que Cronje diera señales de que estaba listo para los inversores. Incluso tuiteó advertencias antes de este incidente: cualquiera que usara sus protocolos debía proceder con cautela.

Desde entonces, Cronje ha declarado en Twitter su intención de continuar su trabajo en Eminence, añadiendo que tiene aproximadamente 100 contratos para probar. También advirtió a los fieles de DeFi que "esperen los anuncios oficiales" antes de usarlos.

Aún así, algunos de los traders afectados, conmocionados por sus pérdidas, no estaban listos para dejar ir a Cronje.

“¿Por qué poner código inacabado en la red principal para que lo prueben?”, preguntó un usuario. intervinoEl contrato debería haber estado en la red de pruebas.

Otros, como Tom Shaughnessy de Delphi Digital,defendidoCronje, afirmando que “no es [su] culpa que la gente degenere en [su] trabajo antes de que esté terminado”.

¿Lecciones DeFi aprendidas con dificultad o difícilmente aprendidas?

En efecto, los llamados degens DeFiTienen fama de "imitar" los contratos inteligentes en busca de ganancias antes de ser examinados exhaustivamente. Los comerciantesdepositó varios cientos de millones valor de tokens en el protocolo de cultivo de rendimiento Yam Finanzas en agosto, por ejemplo, días antes de un erroren su código no auditado hizo caer el precio del token.

Más recientemente, los operadores depositaron tantos tokens en el contrato de Sushiswap, entonces no auditado, que su volumen superó al de Uniswap. Días después, El creador de SushiSwap vendió su parte de desarrollador de SUSHItokens por 13 millones de dólares enETH,solo para devolver la suma en ETH al tesoro de Sushiswap después de un ataque de culpa.

Con este exploit de Eminence y la restitución sumaria ya registrada, los operadores de DeFi tienen otra razón para desconfiar de los protocolos no verificados. Pero con la recuperación compensando en cierta medida sus pérdidas, quizás esta lección se olvide cuando surja la próxima gran novedad.