Drenaje del oráculo BOO en Polter Finance

El 17 de noviembre de 2024, el protocolo de préstamos basado en Fantom Polter Finance fue explotado por aproximadamente $8,7 millones (el informe policial del equipo tras el incidente citó una cifra mayor de $12 M incluyendo efectos descendentes). El atacante manipuló el oráculo del token BOO mediante un préstamo flash en pools de SpookySwap, valorando un BOO en $1,37 billones en el momento en que Polter leyó el precio. Polter cerró operaciones tras el exploit.

Qué ocurrió

Polter Finance era un mercado de préstamos estilo Geist-Aave en Fantom que aceptaba BOO (el token de gobernanza de SpookySwap) como colateral. El oráculo del protocolo para BOO no usaba una fuente externa de confianza; en su lugar, leía el precio spot directamente de los pools SpookySwap V2/V3 en cada consulta.

Para la mayoría de los tokens, las lecturas de oráculo spot son peligrosas; para BOO, con liquidez de pool relativamente reducida, eran catastróficas. El atacante:

1. Tomó prestados en préstamo flash 269.042 BOO de SpookySwap V2 y 1.154.788 BOO de SpookySwap V3 — combinados ~1,4 M BOO.
2. Retiró esos tokens de los pools de SpookySwap, reduciendo drásticamente las reservas de BOO disponibles para trading.
3. Con las reservas de BOO desplomadas, el oráculo de precio spot de SpookySwap reportó un precio de BOO salvajemente inflado — aproximadamente $1,37 billones por token en la lectura más extrema.
4. Depositó un solo token BOO como colateral en Polter — el oráculo valoró el depósito a la tasa inflada, otorgando al atacante poder efectivo de préstamo contra billones de dólares en colateral nominal.
5. Pidió prestados todos los activos disponibles que Polter tenía para prestar — stablecoins, ETH, BTC y otros activos de Fantom — totalizando aproximadamente $8,7 M.
6. Reembolsó los préstamos flash (devolviendo el BOO prestado a los pools, restaurando liquidez y el precio spot), y se marchó con los activos prestados.

Consecuencias

• Polter Finance pausó el protocolo y el equipo intentó negociación on-chain de recompensa con el atacante. Sin respuesta.
• Polter presentó un informe policial alegando $12 M en pérdidas, incluyendo efectos secundarios en protocolos dependientes y daño reputacional.
• El equipo anunció que el protocolo no se relanzaría — la pérdida excedió las reservas de Polter y el impacto en la confianza del usuario fue irrecuperable.
• Los fondos fueron blanqueados a través de puentes cross-chain y mezcladores.

Por qué importa

Polter Finance es uno de muchos casos en el patrón "protocolo de préstamos con oráculo spot en cadena X con liquidez reducida" que ha producido pérdidas acumuladas recurrentes de nueve cifras a lo largo de la historia DeFi:

• Cream Finance (oct 2021) — manipulación de pool spot yUSD.
• Inverse Finance (abr 2022) — oráculo de pool Sushiswap reducido de INV.
• Vee Finance (sept 2021) — oráculo único de Pangolin en Avalanche.
• UwULend (jun 2024) — lecturas spot get_p de Curve en mediana del oráculo sUSDe.
• Polter Finance (nov 2024) — oráculo spot de SpookySwap para BOO.

Cada incidente tiene la misma causa estructural: el protocolo de préstamos consumió un precio de un oráculo cuya fuente de datos subyacente el atacante podía mover en una sola transacción. La respuesta defensiva — medianas de oráculos ponderadas por tiempo desde múltiples fuentes, con límites duros en la tasa de cambio de precio permisible por bloque — está bien documentada pero adoptada desigualmente, particularmente por protocolos desplegando en cadenas más pequeñas donde Chainlink y agregadores similares tienen cobertura limitada.

La lección más profunda: la seguridad de un protocolo de préstamos es el suelo de su calidad de oráculo, no el techo de su calidad de contrato inteligente. Un contrato de préstamo perfectamente auditado sobre un oráculo manipulable es exactamente tan seguro como el oráculo. Los $8,7 M (o $12 M, según contabilidad) de Polter son el precio recurrente de subestimar esta jerarquía.