Una vez que se pesca, ¿por qué se revela el alma contradictoria de si las Finanzas descentralizadas pueden "tenerlo todo"? Revelaciones del ataque a Venus.
Venus Protocol, un gigante, fue víctima de un ataque de phishing, perdiendo diez millones de USD. El protocolo intervino de emergencia, forzando la liquidación del atacante y recuperando los fondos, pero esto también suscitó dudas sobre su naturaleza de descentralización. Este artículo es una adaptación y traducción de un texto escrito por Rekt News, organizado por TechFlow. (Resumen previo: los usuarios de Venus Protocol sufrieron un ataque de phishing, perdiendo 27 millones de USD, ¡no fue el protocolo quien fue hackeado!) (Contexto adicional: ¡Tu computadora está ayudando a los hackers a minar Bitcoin! 3,500 sitios web fueron infectados con "scripts de minería", secuestrando a los usuarios sin que se dieran cuenta.) Un gigante de Venus Protocol acaba de darse cuenta, a través de una experiencia dolorosa, de que el costo de una llamada por Zoom podría ser más alto que tu hipoteca. Un cliente de video malicioso, una firma perfectamente cronometrada, 13 millones de USD desaparecieron más rápido que un anuncio de rug pull. Pero el punto de inflexión en la historia es que Venus no se limitó a observar cómo se vaciaban los usuarios y no hacía nada al respecto. Cerraron su protocolo, convocaron urgentemente a una votación y completaron, en menos de 12 horas, la "acción de rescate" más controvertida en el ámbito de las Finanzas descentralizadas. Lo que inicialmente parecía ser un ataque de phishing ordinario se convirtió en una fascinante clase magistral sobre si un protocolo descentralizado puede "tener el pastel y comérselo también". Cuando salvar a un gigante significa exponer el interruptor de terminación oculto en el protocolo, ¿quién es realmente el salvado? Cronología del evento 2 de septiembre, 09:05 UTC. Un gigante de Venus Protocol abrió su cliente de Zoom, listo para comenzar un nuevo día de negocios en DeFi. Pero el aparentemente inocente software de video fue infiltrado silenciosamente, permitiendo al atacante acceder a todo su dispositivo a través de una puerta trasera. La víctima firmó una transacción de autorización de delegación, una operación de rutina que ocurre miles de veces al día en DeFi. No es necesario tocar la llave privada para gestionar tu posición en el protocolo. Generalmente, la velocidad de firmar estos protocolos es más rápida que la de leer los términos del servicio. Clic. Firma. En un instante, "obtener liquidación". Desde la firma hasta la ruina financiera, solo pasaron seis segundos. Un cliente de video comprometido le entregó a un paciente atacante el control de una billetera valorada en 13 millones de USD. La mayoría de las historias de phishing terminan aquí: el gigante fue perjudicado, el atacante desapareció y las burlas hacia la víctima en Twitter continuaron durante una semana. Pero esta vez, el plan del ladrón era mucho más ambicioso que un simple "robo total". ¿Qué sucede cuando robar millones de USD no es suficiente? Operación de robo 09:05:36 UTC. Justo seis segundos después de que el gigante firmara su "acuerdo de suicidio criptográfico", el atacante lanzó una "obra maestra" de Flash Loans. Transacción de exploit: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286. El análisis posterior al ataque de Venus Protocol desglosa detalladamente la estrategia del atacante: Primer paso: tomar prestados 285.72 BTCB a través de un Flash Loan— después de todo, ¿por qué usar tu propio dinero? DeFi permite pedir prestados millones sin colateral. Segundo paso: usar los fondos prestados para pagar la deuda existente de la víctima, mientras se añaden 21 BTCB desde la cuenta del atacante. Parece generoso, pero en realidad es un "asesinato contable" implacable. Tercer paso: activar la autorización delegada. Transferir todos los activos digitales de la víctima, incluidos 19.8 millones de USD en vUSDT, 7.15 millones de USD en vUSDC, 285 BTCB, y una larga lista de otros tokens. Todo esto fue completamente legal, ya que la "ingenua" firma de hace seis segundos ya había autorizado la transacción. Cuarto paso: un golpe magistral. Usar esos activos recién robados como colateral para pedir prestados 7.14 millones de USD en USDC, basándose en el BNB restante de la víctima. El atacante no solo vació la billetera, sino que también obligó a la víctima a pagar por su propio "robo". Quinto paso: pedir prestado suficiente BTCB para pagar el Flash Loan. La transacción se completó y el atacante desapareció sigilosamente. Una operación automatizada, un gigante vaciado, un ladrón criptográfico muy satisfecho: acaban de convertir los ahorros de toda una vida de otra persona en su patio de juegos colateral. Sin embargo, la codicia a menudo convierte a los cazadores en presas. ¿Qué sucede cuando un "robo perfecto" se convierte en una "acción suicida"? Medidas de respuesta 09:09 UTC, cuatro minutos después del robo, los sistemas de monitoreo de HexaGate y Hypernative comenzaron a sonar alarmas. No era una simple advertencia de "transacción sospechosa detectada". Era una alerta de nivel cinco por un valor de 13 millones de USD, y la empresa de seguridad sabía de inmediato a quién contactar. ¿La respuesta de Venus Protocol? Activar la opción nuclear. Desde el robo hasta la pausa del protocolo, solo pasaron veinte minutos. Venus activó su propio interruptor de terminación, congelando todas las funciones principales de todo el ecosistema. ¿Préstamos? Detener. ¿Retiros? Terminar. ¿Liquidaciones? Pausar. Un usuario sufrió un phishing y todo el protocolo se paralizó. Esto no es solo control de crisis: es una batalla financiera. Venus decidió limitar su propia plataforma, tratando de atrapar los bienes robados por el atacante. Cada vToken en posesión del hacker se convirtió instantáneamente en papel sin valor, atrapado bajo los permisos de emergencia de Venus. Pero, ¿congelar todo el protocolo DeFi para salvar a un gigante? Tal decisión no puede ser tomada unilateralmente por el equipo de desarrollo. Así que la democracia entró en escena: una votación de gobernanza de emergencia. Cuando la comunidad solo tiene doce horas para decidir si salvar la riqueza de un usuario a través de medios centralizados, ¿realmente puedes llamarlo descentralizado? Democracia relámpago Venus no solo pausó el protocolo, sino que también convocó una "reunión en línea" de emergencia que haría que cualquier equipo de manejo de crisis en Web2 se pusiera celoso. La llamaron "votación relámpago". Después de todo, no hay nada que represente mejor la "gobernanza de base" que comprimir decisiones de millones de dólares en unas pocas horas de acaloradas discusiones en Discord. La propuesta era clara: Primera fase: restaurar parcialmente la funcionalidad (para evitar que el usuario sea liquidado). Segunda fase: forzar la liquidación de la posición del atacante. Tercera fase: llevar a cabo una revisión de seguridad completa para prevenir eventos similares en el futuro. Cuarta fase: restaurar completamente el funcionamiento de Venus. ¿La reacción de la comunidad? 100% de acuerdo. No fue 99%. Ni 98%. Cada voto apoyó el plan de acción de Venus, como si fuera algún tipo de resultado de elecciones norcoreanas en DeFi. Quizás esto sea el verdadero consenso, o quizás sea por autoprotección. O cuando tu protocolo está perdiendo millones de USD y los competidores te rodean como buitres, la disidencia se convierte en un lujo que nadie puede permitirse. En la tarde, Venus obtuvo autorización. El siguiente paso fue ejecutar la liquidación más controvertida en la historia de DeFi: una operación que requería eludir las reglas de contratos inteligentes para forzar la toma de colateral del atacante. La víctima se había metido en problemas por una firma de transacción incorrecta, mientras Venus estaba a punto de firmar el "certificado de defunción de la democracia". ¿Qué sucede cuando "el código es ley" se encuentra con permisos de emergencia? Acción de resurgimiento 21:36 UTC. Doce horas después del robo...
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Una vez que se pesca, ¿por qué se revela el alma contradictoria de si las Finanzas descentralizadas pueden "tenerlo todo"? Revelaciones del ataque a Venus.
Venus Protocol, un gigante, fue víctima de un ataque de phishing, perdiendo diez millones de USD. El protocolo intervino de emergencia, forzando la liquidación del atacante y recuperando los fondos, pero esto también suscitó dudas sobre su naturaleza de descentralización. Este artículo es una adaptación y traducción de un texto escrito por Rekt News, organizado por TechFlow. (Resumen previo: los usuarios de Venus Protocol sufrieron un ataque de phishing, perdiendo 27 millones de USD, ¡no fue el protocolo quien fue hackeado!) (Contexto adicional: ¡Tu computadora está ayudando a los hackers a minar Bitcoin! 3,500 sitios web fueron infectados con "scripts de minería", secuestrando a los usuarios sin que se dieran cuenta.) Un gigante de Venus Protocol acaba de darse cuenta, a través de una experiencia dolorosa, de que el costo de una llamada por Zoom podría ser más alto que tu hipoteca. Un cliente de video malicioso, una firma perfectamente cronometrada, 13 millones de USD desaparecieron más rápido que un anuncio de rug pull. Pero el punto de inflexión en la historia es que Venus no se limitó a observar cómo se vaciaban los usuarios y no hacía nada al respecto. Cerraron su protocolo, convocaron urgentemente a una votación y completaron, en menos de 12 horas, la "acción de rescate" más controvertida en el ámbito de las Finanzas descentralizadas. Lo que inicialmente parecía ser un ataque de phishing ordinario se convirtió en una fascinante clase magistral sobre si un protocolo descentralizado puede "tener el pastel y comérselo también". Cuando salvar a un gigante significa exponer el interruptor de terminación oculto en el protocolo, ¿quién es realmente el salvado? Cronología del evento 2 de septiembre, 09:05 UTC. Un gigante de Venus Protocol abrió su cliente de Zoom, listo para comenzar un nuevo día de negocios en DeFi. Pero el aparentemente inocente software de video fue infiltrado silenciosamente, permitiendo al atacante acceder a todo su dispositivo a través de una puerta trasera. La víctima firmó una transacción de autorización de delegación, una operación de rutina que ocurre miles de veces al día en DeFi. No es necesario tocar la llave privada para gestionar tu posición en el protocolo. Generalmente, la velocidad de firmar estos protocolos es más rápida que la de leer los términos del servicio. Clic. Firma. En un instante, "obtener liquidación". Desde la firma hasta la ruina financiera, solo pasaron seis segundos. Un cliente de video comprometido le entregó a un paciente atacante el control de una billetera valorada en 13 millones de USD. La mayoría de las historias de phishing terminan aquí: el gigante fue perjudicado, el atacante desapareció y las burlas hacia la víctima en Twitter continuaron durante una semana. Pero esta vez, el plan del ladrón era mucho más ambicioso que un simple "robo total". ¿Qué sucede cuando robar millones de USD no es suficiente? Operación de robo 09:05:36 UTC. Justo seis segundos después de que el gigante firmara su "acuerdo de suicidio criptográfico", el atacante lanzó una "obra maestra" de Flash Loans. Transacción de exploit: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286. El análisis posterior al ataque de Venus Protocol desglosa detalladamente la estrategia del atacante: Primer paso: tomar prestados 285.72 BTCB a través de un Flash Loan— después de todo, ¿por qué usar tu propio dinero? DeFi permite pedir prestados millones sin colateral. Segundo paso: usar los fondos prestados para pagar la deuda existente de la víctima, mientras se añaden 21 BTCB desde la cuenta del atacante. Parece generoso, pero en realidad es un "asesinato contable" implacable. Tercer paso: activar la autorización delegada. Transferir todos los activos digitales de la víctima, incluidos 19.8 millones de USD en vUSDT, 7.15 millones de USD en vUSDC, 285 BTCB, y una larga lista de otros tokens. Todo esto fue completamente legal, ya que la "ingenua" firma de hace seis segundos ya había autorizado la transacción. Cuarto paso: un golpe magistral. Usar esos activos recién robados como colateral para pedir prestados 7.14 millones de USD en USDC, basándose en el BNB restante de la víctima. El atacante no solo vació la billetera, sino que también obligó a la víctima a pagar por su propio "robo". Quinto paso: pedir prestado suficiente BTCB para pagar el Flash Loan. La transacción se completó y el atacante desapareció sigilosamente. Una operación automatizada, un gigante vaciado, un ladrón criptográfico muy satisfecho: acaban de convertir los ahorros de toda una vida de otra persona en su patio de juegos colateral. Sin embargo, la codicia a menudo convierte a los cazadores en presas. ¿Qué sucede cuando un "robo perfecto" se convierte en una "acción suicida"? Medidas de respuesta 09:09 UTC, cuatro minutos después del robo, los sistemas de monitoreo de HexaGate y Hypernative comenzaron a sonar alarmas. No era una simple advertencia de "transacción sospechosa detectada". Era una alerta de nivel cinco por un valor de 13 millones de USD, y la empresa de seguridad sabía de inmediato a quién contactar. ¿La respuesta de Venus Protocol? Activar la opción nuclear. Desde el robo hasta la pausa del protocolo, solo pasaron veinte minutos. Venus activó su propio interruptor de terminación, congelando todas las funciones principales de todo el ecosistema. ¿Préstamos? Detener. ¿Retiros? Terminar. ¿Liquidaciones? Pausar. Un usuario sufrió un phishing y todo el protocolo se paralizó. Esto no es solo control de crisis: es una batalla financiera. Venus decidió limitar su propia plataforma, tratando de atrapar los bienes robados por el atacante. Cada vToken en posesión del hacker se convirtió instantáneamente en papel sin valor, atrapado bajo los permisos de emergencia de Venus. Pero, ¿congelar todo el protocolo DeFi para salvar a un gigante? Tal decisión no puede ser tomada unilateralmente por el equipo de desarrollo. Así que la democracia entró en escena: una votación de gobernanza de emergencia. Cuando la comunidad solo tiene doce horas para decidir si salvar la riqueza de un usuario a través de medios centralizados, ¿realmente puedes llamarlo descentralizado? Democracia relámpago Venus no solo pausó el protocolo, sino que también convocó una "reunión en línea" de emergencia que haría que cualquier equipo de manejo de crisis en Web2 se pusiera celoso. La llamaron "votación relámpago". Después de todo, no hay nada que represente mejor la "gobernanza de base" que comprimir decisiones de millones de dólares en unas pocas horas de acaloradas discusiones en Discord. La propuesta era clara: Primera fase: restaurar parcialmente la funcionalidad (para evitar que el usuario sea liquidado). Segunda fase: forzar la liquidación de la posición del atacante. Tercera fase: llevar a cabo una revisión de seguridad completa para prevenir eventos similares en el futuro. Cuarta fase: restaurar completamente el funcionamiento de Venus. ¿La reacción de la comunidad? 100% de acuerdo. No fue 99%. Ni 98%. Cada voto apoyó el plan de acción de Venus, como si fuera algún tipo de resultado de elecciones norcoreanas en DeFi. Quizás esto sea el verdadero consenso, o quizás sea por autoprotección. O cuando tu protocolo está perdiendo millones de USD y los competidores te rodean como buitres, la disidencia se convierte en un lujo que nadie puede permitirse. En la tarde, Venus obtuvo autorización. El siguiente paso fue ejecutar la liquidación más controvertida en la historia de DeFi: una operación que requería eludir las reglas de contratos inteligentes para forzar la toma de colateral del atacante. La víctima se había metido en problemas por una firma de transacción incorrecta, mientras Venus estaba a punto de firmar el "certificado de defunción de la democracia". ¿Qué sucede cuando "el código es ley" se encuentra con permisos de emergencia? Acción de resurgimiento 21:36 UTC. Doce horas después del robo...