Criptomonedas News

Noticias de Criptomonedas, mercados, trading, bitcoin y mas.

Seguridad

Hackeo a Bonzo Lend en Hedera: atacante roba 9 millones de dólares explotando un oráculo de precios manipulado

Spread the love

El protocolo de préstamos descentralizados Bonzo Lend, construido sobre la red Hedera, sufrió este martes uno de los incidentes de seguridad más graves de su corta historia: un atacante aprovechó una vulnerabilidad en un servicio externo de datos de precios para drenar aproximadamente 9 millones de dólares en activos digitales. El golpe provocó que el valor total depositado en el protocolo cayera cerca de un 77% en cuestión de horas.

¿Qué son los oráculos y por qué son un blanco frecuente?

Para entender el ataque, es útil saber qué papel juegan los oráculos en las finanzas descentralizadas (DeFi). Un oráculo es un servicio que conecta la blockchain con información del mundo real, como el precio de un activo. Los protocolos de préstamo dependen de esos datos para determinar cuánto puede pedir prestado un usuario según el valor de la garantía que deposita. Si alguien logra alterar esa información de precio, puede hacer que el sistema «crea» que una garantía vale mucho más de lo que realmente vale, y obtener préstamos desproporcionados a cambio.

Eso fue exactamente lo que ocurrió en Bonzo Lend. El atacante encontró una falla en el contrato verificador del oráculo de terceros Supra, un proveedor de datos de precios en cadena que el protocolo utilizaba para operar. A través de ese agujero, logró enviar una actualización de precios falsa que fue aceptada como legítima por el sistema.

El mecanismo del ataque: inflar, pedir prestado, desaparecer

Con el precio del token SAUCE artificialmente inflado, el atacante depositó ese activo como garantía y, sobre esa base ficticia, solicitó préstamos en otras criptomonedas por un valor de 9.05 millones de dólares. Dado que el protocolo calculó el valor de la garantía usando datos adulterados, aprobó los préstamos sin restricciones. Una vez obtenidos los fondos, el atacante los retiró antes de que el sistema pudiera reaccionar.

Este tipo de maniobra, conocida en el ecosistema cripto como oracle manipulation o manipulación de oráculo, no es nueva. Ha sido responsable de pérdidas millonarias en múltiples protocolos DeFi a lo largo de los años. Lo que varía en cada caso es el punto exacto de fallo: en esta ocasión, la debilidad no estaba en el propio contrato de Bonzo Lend, sino en el componente de Supra que se encarga de validar las actualizaciones de precios antes de publicarlas en la cadena.

Una segunda billetera, un giro inesperado

El incidente tiene un detalle que llama la atención. Mientras el ataque principal seguía su curso, una segunda billetera independiente replicó la misma técnica y extrajo alrededor de un millón de dólares adicionales. Sin embargo, esa segunda dirección se identificó públicamente como perteneciente a un hacker de sombrero blanco, es decir, un investigador de seguridad que actúa de forma ética. El operador de esa billetera señaló que los fondos serían devueltos, una práctica habitual entre quienes detectan vulnerabilidades activas y prefieren asegurar los activos antes de que otros atacantes los tomen.

La distinción entre ambas actuaciones es importante: mientras el primer atacante parece haber obrado con fines maliciosos y los fondos permanecen sin recuperar, la segunda intervención podría interpretarse como una forma de rescate parcial del protocolo.

El impacto sobre Bonzo y la red Hedera

Tras conocerse el incidente, el equipo de Bonzo Lend suspendió las operaciones del protocolo para evitar pérdidas adicionales y anunció que está trabajando junto a Supra para determinar el alcance exacto del daño y establecer un plan de respuesta. La caída abrupta en el total de fondos depositados refleja no solo los activos robados, sino también la salida masiva de usuarios que, ante la incertidumbre, optaron por retirar sus posiciones.

Para Hedera, una red que ha buscado posicionarse como una alternativa empresarial y técnicamente robusta frente a Ethereum y otras blockchains, el episodio representa un recordatorio de que la seguridad de un ecosistema DeFi no depende únicamente de la capa base, sino también de cada componente externo que los protocolos integran.

El caso reaviva el debate sobre la auditoría rigurosa de oráculos y servicios de terceros en DeFi. Muchos exploits recientes no atacan el código principal de un protocolo, sino sus puntos de integración, que suelen recibir menos escrutinio. Mientras la investigación continúa, los fondos principales del ataque siguen sin recuperarse.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *