Team Finance ha informado que sufrió un exploit malicioso por parte de un atacante que ha drenado tokens por valor de USD $ 15,8 millones del protocolo.
Requiriendo solamente USD $ 2.700 de su parte, el atacante ha explotado fallos en la función de migración del casillero de liquidez de DeFi para mover tokens de liquidez bloqueados.
Migración fallida
La plataforma DeFi confirmó el incidente, declarando que el atacante explotó su función de migración de la versión 2 a la versión 3 auditada. También dijo:
«Hemos detenido temporalmente toda la actividad a través de Team Finance hasta que estemos seguros de que este exploit ha sido remediado. Todos los fondos que se encuentran actualmente en Team Finance no corren más riesgo de sufrir este exploit»
PeckShield declaró que el fallo en la función de migración permitía al atacante manipular el precio de los tokens de liquidez al transferirlos de la versión 2 a la 3. Esta desviación del precio permitió al atacante obtener un beneficio significativo una vez completado el proceso de migración.
El atacante utilizó solamente 1,76 ETH (USD $ 2.700) para lanzar el ataque, señaló PeckShield. La dirección del monedero del atacante aún conserva las ganancias del exploit, incluyendo USD $ 6,43 millones en la stablecoin DAI y 880 ETH (USD $ 1,36 millones).
Nuevo ataque
Team Finance se suma a una serie de protocolos DeFi que han sufrido ataques en octubre, mes récord en incidentes de criptoseguridad. A principios de mes, CriptoPeriódico informó que Mango Markets había sufrido un ataque de USD $ 114 millones. Para el atacante, era una «estrategia comercial muy rentable«.
Según PeckShield, el atacante tenía como objetivo los tokens de liquidez bajo custodia de Team Finance, atacando cuatro proyectos: CAW (A Hunters Dream), Dejitaru Tsuka, Kondux y Feg. El primero fue el más afectado en el incidente, ya que el atacante retiró USD $ 11,5 millones de sus tokens de liquidez.
@TeamFinance_ fue explotado en https://etherscan.io/tx/0xb2e3ea72d353da43a2ac9a8f1670fd16463ab370e563b9b5b26119b2601277ce…, lo que llevó a la pérdida de USD $ 15,8 millones para el protocolo: USD $ 11,5 millones (V2_USDC_CAW)+ USD $ 1,7 millones (V2_USDC_TSUKA)+ USD $ 0,7 millones (V2_KNDX_WETH)+ USD $ 1,9 millones (V2_FEG_WETH). @trustswap
1/ @TeamFinance_ was exploited in https://t.co/9s5lLx7EOr,
leading to the loss of ~$15.8M for the protocol: $11.5M (V2_USDC_CAW)+$1.7M(V2_USDC_TSUKA)+0.7M(V2_KNDX_WETH)+1.9M(V2_FEG_WETH). @trustswap https://t.co/7r1F0J6ATv— PeckShield Inc. (@peckshield) October 27, 2022
Team Finance es una plataforma DeFi que ayuda a otros proyectos a bloquear su liquidez. Esto se hace para reducir el riesgo de una practica llamada “rug pulling”, por medio de la cual la liquidez de un proyecto se retira, causando que el valor del token caiga fuertemente.
Ofrece recompensa
Team Finance también ha instado al autor del ataque a que se ponga en contacto con ellos para acordar el pago de una recompensa. Este tipo de acuerdos se están convirtiendo en algo habitual en el espacio de DeFi en medio de una oleada de recientes hackeos y explotaciones de alto perfil.
Acabamos de ser alertados de un exploit en Team Finance. Actualmente no estamos seguros de los detalles. Instamos al explotador a que se ponga en contacto con nosotros para obtener una recompensa. Estamos trabajando para analizar y remediar la situación en este momento. Más detalles en breve
We have just been alerted of an exploit on Team Finance.
We are currently unsure of the details.
We urge the exploiter to get in contact with us for a bounty paymentWe are working to analyze and remedy the situation at this very moment.
More details to follow
— Team Finance (@TeamFinance_) October 27, 2022
El valor total bloqueado (TVL) en Team Finance, una oferta de productos de TrustSwap, se desplomó de USD $ 147,03 millones a USD $ 128,39 millones tras el ataque, según los datos de DeFiLlama.