Lovely Capital reanudó sus mercados de préstamos de Ethereum después de un hackeo que costó unos USD 58 millones en activos digitales.
El 1 de noviembre, el protocolo de préstamo dijo que había implementado mejoras, incluida la transferencia de la propiedad a un contrato de bloqueo temporal. El equipo de Lovely Capital dijo que esto impone un período de espera obligatorio de 72 horas para cualquier ajuste, fortificando la seguridad de Lovely.
El equipo también ha implementado una función de administración de emergencia que utiliza una estructura multifirma. Esta función se encarga de pausar y desbloquear los mercados del protocolo de préstamo en caso necesario.
Además, su organización autónoma descentralizada (DAO) cambió su seguridad multifirma, reduciendo el número de firmantes necesarios a siete con un umbral de firma de cuatro de siete.
Los monederos multifirma mejoran la seguridad al requerir múltiples firmas para ejecutar o procesar criptotransacciones. Esto elimina el riesgo de un único punto de fallo asociado a tener una sola clave privada.
Una “lección” cara para DeFi
Las mejoras de seguridad se producen después de que un exploit provocara pérdidas de USD 58 millones en activos digitales. El 16 de octubre, Lovely Capital paralizó sus mercados de préstamos tras una brecha de ciberseguridad en BNB Chain y Arbitrum.
Un atacante se hizo con el control de las claves privadas y los contratos inteligentes de varios firmantes. Esto permitió a los hackers drenar más de USD 50 millones en activos del protocolo.
El 18 de octubre, Lovely Capital confirmó en una autopsia que los atacantes comprometieron los dispositivos de al menos tres de sus desarrolladores principales mediante la inyección de malware.
Según Lovely Capital, los dispositivos fueron comprometidos de forma que el entrance-finish de sus monederos mostraba datos de transacciones legítimas mientras que las transacciones maliciosas se firmaban y ejecutaban en segundo plano.
En un artículo publicado en X, el profesional de la seguridad Patrick Collins describió el incidente como una “lección de USD 50 millones” que el sector de las finanzas descentralizadas (DeFi) debe recordar. Collins dijo que existe una laguna educativa o de herramientas en la verificación de transacciones utilizando monederos hardware.
Fuente: Patrick Collins
Por su parte, el hacker de Lovely Capital ya ha movido unos USD 52 millones de los fondos robados en el incidente. El 24 de octubre, la firma de seguridad blockchain PeckShield dijo que el explotador ya había movido “casi todos” los fondos robados.
Problemas con la firma de monederos
Los incidentes de phishing en criptomonedas ya han provocado la pérdida de millones en activos digitales. El 21 de agosto, un ataque de phishing en criptomonedas USD drenó 55 millones de stablecoins después de que una ballena firmara por error una transacción que transfería la propiedad de sus fondos a los atacantes.
Debido a este tipo de incidentes, el monedero electrónico Ledger afirma que es necesario promover la firma inequívoca en el espacio de las criptomonedas. El CEO de Ledger, Pascal Gauthier, dijo anteriormente a Cointelegraph en una entrevista que la industria debería alejarse de la firma ciega y que se habían asociado con varias entidades para educar a la comunidad con una iniciativa de firma clara.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.