Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 090Manipulación de oráculo

Manipulación de oráculo StableV1 en DEUS DAO

DEUS DAO perdió 13,4 M$ al valorar el colateral DEI desde un par Solidly DEI/USDC que un atacante con préstamo flash movió para vaciar las reservas de préstamo.

Fecha
Víctima
DEUS Finance
Cadena(s)
BNB Chain
Estado
Fondos robados

El 28 de abril de 2022, DEUS Finance / DEUS DAO sufrió su segundo exploit de 2022: aproximadamente 13,4 millones de dólares drenados cuando un atacante manipuló el oráculo de precios de DEI, la stablecoin del protocolo, que DEUS leía desde un par Solidly StableV1 DEI/USDC que un préstamo flash podía mover.

Qué ocurrió

Los mercados de préstamo de DEUS DAO usaban DEI como colateral. El protocolo fijaba el precio de DEI desde un par de liquidez StableV1 DEI/USDC estilo Solidly: un pool cuyo precio spot era manipulable por cualquiera con suficiente capital, capital que un préstamo flash proporciona gratis.

El ataque:

  1. Pidió USDC en préstamo flash para financiar la manipulación.
  2. Sesgó el par StableV1 DEI/USDC intercambiando en él, empujando el precio de DEI reportado por el oráculo muy por encima de su valor real.
  3. Depositó una cantidad modesta de DEI como colateral en DEUS, valorado al precio manipulado en mucho más de lo que realmente valía.
  4. Tomó prestadas las reservas prestables del protocolo contra el colateral inflado.
  5. Revirtió la manipulación del par, repagó el préstamo flash y se marchó con ~13,4 M$.

Este fue el segundo incidente de DEUS DAO en 2022: un exploit anterior en marzo de 2022 había drenado ~3 M$ a través de un vector relacionado de manipulación de oráculo. El protocolo no había endurecido adecuadamente sus dependencias de oráculo entre incidentes.

Consecuencias

  • DEUS pausó los mercados afectados y anunció planes de compensación financiados mediante mecanismos del protocolo.
  • El atacante lavó mediante Tornado Cash; sin recuperación pública.
  • DEUS DAO sufrió un tercer exploit en mayo de 2023 (6,5 M$), convirtiéndolo en uno de los protocolos más reiteradamente explotados de la historia de DeFi.

Por qué importa

DEUS DAO es un caso llamativo de la dinámica de fragilidad por incidentes repetidos. Tres exploits a lo largo de 2022-2023, todos con manipulación de oráculo / precios de la stablecoin DEI o pools relacionados, demuestran la observación recurrente de que la remediación post-incidente centrada en el bug específico en lugar de en la causa raíz sistémica produce exploits repetidos.

La causa raíz sistémica en DEUS fue consistente: fijar el precio de un colateral crítico desde pools on-chain manipulables. Tras el incidente de marzo de 2022, el de abril de 2022 explotó la misma debilidad fundamental por un pool distinto. Tras abril, el incidente de mayo de 2023 volvió a hacerlo. Cada vez, el equipo parece haber parcheado la ruta específica de manipulación en vez de adoptar una arquitectura de oráculo resistente a manipulación de manera integral.

La lección es la que el catálogo entero sigue enseñando: el oráculo es la frontera de confianza, y un protocolo que ha sido explotado vía oráculo una vez y no rediseña sus feeds de precio de manera integral será explotado vía oráculo de nuevo. DEUS DAO es una de las ilustraciones multi-incidente más claras de exactamente eso.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-deus-dao-hack-april-2022
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/defi-hacker-steals-13-4m-deus-finance-attack/
  3. [03]rekt.newshttps://rekt.news/deus-dao-r3kt-two/

Registros relacionados