Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 031Ataque con flash loan

Drenaje de participaciones LP en Spartan Protocol

Spartan Protocol perdió $30M en BSC por un cálculo de participación de liquidez defectuoso, el primer gran ataque con préstamo flash en BSC.

Fecha
Víctima
Spartan Protocol
Cadena(s)
BNB Chain
Estado
Fondos robados

El 2 de mayo de 2021 alrededor de las 16:00 UTC, Spartan Protocol — un AMM temprano de BSC — fue drenado por aproximadamente $30 millones en lo que se reportó ampliamente como el primer gran ataque con préstamo flash en Binance Smart Chain. El exploit ocurrió durante la actualización planificada del protocolo a V2, y el momento no fue una coincidencia.

Qué ocurrió

Los pools de Spartan calculaban la participación LP de cada usuario basándose en los saldos de tokens actuales dentro del pool, leídos directamente del contrato del pool en el momento del retiro. El cálculo era vulnerable a la manipulación por cualquiera que pudiera inflar temporalmente el saldo del pool en la misma transacción en la que canjeaba.

El ataque:

  1. Tomó un préstamo flash de 100.000 wBNB en PancakeSwap.
  2. Intercambió una porción a través del pool de Spartan para empujar el precio de SPARTA fuertemente contra wBNB.
  3. Quemó los tokens LP que poseía, canjeando una participación calculada contra el saldo actual manipulado — lo que le acreditó con mucho más valor subyacente del que su participación representaba legítimamente.
  4. Repitió el ciclo hasta que el pool quedó efectivamente vacío.
  5. Devolvió el préstamo flash (100.260 wBNB después de comisión) y se marchó con ~$30M en BNB, BTCB y BETH.

Los fondos robados fueron blanqueados a través de 1inch, anyswap y Nerve Finance hacia las versiones puenteadas de Anyswap de activos importantes.

Consecuencias

  • Spartan pausó operaciones y lanzó un rediseño V2 con la matemática de participación LP corregida.
  • El protocolo nunca recuperó completamente su posición previa al incidente en DeFi de BSC.
  • El incidente fue ampliamente visto como una llamada de atención para el sector DeFi de BSC, que había estado creciendo explosivamente en 2021 con menos rigor en torno a las pruebas de invariantes económicas que los protocolos del lado de Ethereum.

Por qué importa

Spartan es el primer ataque canónico con préstamo flash en BSC, en el mismo papel que bZx jugó en Ethereum un año antes. La lección estructural es idéntica — nunca leas cantidades económicas que impactan al usuario directamente desde un saldo de pool manipulable — pero el hecho de que BSC necesitara aprenderla de forma independiente, con su propia pérdida de $30M, presagió el patrón más amplio: cada nueva L1 y L2 reinventa los mismos errores DeFi que cometieron sus predecesores, en su propio cronograma, con sus propios millones de dólares en matrícula.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-spartan-protocol-hack-may-2021
  2. [02]beincrypto.comhttps://beincrypto.com/spartan-defi-suffers-30m-loss-bsc-flash-loan-attack/
  3. [03]medium.comhttps://medium.com/amber-group/exploiting-spartan-protocols-lp-share-calculation-flaws-391437855e74

Registros relacionados