Las finanzas descentralizadas han cambiado cómo se mueve el dinero gracias a la libertad financiera que ofrece, su accesibilidad e innovación. Ahora bien, como cualquier cosa del mundo, no está exenta de peligros y un equipo de ciberdelincuentes han orquestado un robo masivo de más de 60 millones de dólares de víctimas desprevenidas. 

¿La afectada? Ethereum. ¿Cómo? Los hackers han explotado una función dentro de la blockchain de la criptomoneda conocida como Create2 que se introdujo en 2019 para mejorar la creación de contratos inteligentes, permitiendo a los desarrolladores predecir la dirección de un contrato antes de desplegarlo. 

Sí, es una función muy útil para las aplicaciones descentralizadas y la experiencia de usuario, pero también cuenta con fallos escondidos en su interior que pueden explotarse. 

¿Qué han hecho los ciberdelincuentes? Idearon una estrategia de doble ataque para explotar la vulnerabilidad de Create2 y empezaron a desviar fondos de usuarios desprevenidos. 

La primera técnica, tal y como apuntan en GHacks, consiste en generar direcciones de Ethereum muy parecidas a las legítimas de los destinatarios. Esta técnica, llamada "envenenamiento de direcciones", consiste en crear un gran número de direcciones y seleccionar las que coincidían con la dirección del destinatario, engañando así a los usuarios para que enviaran sus activos al destino equivocado.

La segunda técnica logra eludir las alertas de seguridad de los monederos. De esta forma, los ciberdelincuentes podían robar fondos de las carteras de las víctimas sin dar la voz de alarma. Este método resultó especialmente eficaz para eludir las medidas de seguridad diseñadas para evitar transacciones no autorizadas.

A través de estas 2 técnicas de explotación de la función de Create2 ha dejado más de 99.000 víctimas y pérdidas totales por valor de 60 millones de dólares. Algunos usuarios perdieron todas sus tenencias de criptomonedas, mientras que otras vieron como sus fondos bajaron significativamente. 

Este incidente ha puesto de manifiesto los riesgos inherentes al ecosistema de las finanzas descentralizadas (DeFi) y ha dejado bien claro que es vital la educación de los usuarios para que sepan a qué se enfrentan y que así puedan comprender las plataformas con las que interactúan antes de confiar sus activos. 

Este robo de 60 millones de dólares a 99.000 usuarios es un duro recordatorio de las vulnerabilidades que existen en el espacio DeFi. Aunque la comunidad Ethereum ha tomado medidas para abordar los exploits relacionados con Create2, el incidente subraya el desafío continuo de asegurar las redes descentralizadas y proteger a los usuarios de ciberataques sofisticados.