Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 153Ataque con flash loan

Manipulación de precios Curve en Zunami Protocol

$2,1M drenados de Zunami tras que los precios de sus stablecoins zETH y UZD, derivados de pools manipulables de Curve, fueran inflados con préstamo flash.

Fecha
Víctima
Zunami Protocol
Cadena(s)
Ethereum
Estado
Fondos robados

El 13 de agosto de 2023, Zunami Protocol perdió aproximadamente $2,1 millones cuando un atacante manipuló los precios derivados de pools de Curve para sus stablecoins zETH y UZD. Un préstamo flash infló los precios del pool, el atacante acuñó/extrajo a la tasa manipulada, y ambos tokens se descabalgaron más del 90%.

Qué ocurrió

La UZD (una stablecoin vinculada al USD) y zETH de Zunami derivaban sus precios de pools de liquidez de Curve — pools cuyo precio spot un actor suficientemente capitalizado puede mover dentro de una sola transacción, y que un préstamo flash financia gratis.

El ataque siguió el patrón canónico de oráculo con préstamo flash:

  1. Pidió préstamo flash de capital.
  2. Sesgó los pools relevantes de Curve (pares zETH y UZD), empujando las lecturas de precios del protocolo lejos del valor verdadero.
  3. Acuñó / extrajo contra los precios manipulados — adquiriendo mucho más valor del que el colateral real justificaba.
  4. Revirtió la manipulación, devolvió el préstamo flash, y se marchó con ~$2,1M.
  5. Tanto UZD como zETH se descabalgaron más del 90% mientras el suministro sin respaldo y las suposiciones de precio rotas golpeaban al mercado.

Consecuencias

  • Zunami pausó los contratos afectados y advirtió a los usuarios que las stablecoins no podían mantener sus pegs.
  • La posición del protocolo quedó efectivamente destruida por el descalce.
  • Los fondos fueron blanqueados a través de Tornado Cash.

Por qué importa

Zunami es otra entrada más en el linaje de stablecoin con precio desde un pool de Curve manipulable — estructuralmente idéntica a Yearn yDAI (2021), BonqDAO (2023) y docenas de otros incidentes donde el feed de precios del protocolo era un pool que el atacante podía mover.

La repetición es el punto entero de catalogar estos pequeños incidentes. Individualmente, los $2,1M de Zunami son sin importancia. Colectivamente, el patrón — "un protocolo DeFi pone precio a un activo crítico desde una tasa spot de pool Curve/AMM; el atacante con préstamo flash mueve el pool; el protocolo es drenado; la stablecoin se descalza" — aparece tantas veces a lo largo del catálogo, a lo largo de tantos años y cadenas, que constituye el modo de fallo individual más repetido en la historia de DeFi.

La respuesta defensiva ha sido documentada y libremente disponible desde los ataques con préstamo flash de bZx de febrero de 2020: nunca derives un precio crítico de la tasa spot instantánea de un pool; usa oráculos ponderados en el tiempo, feeds externos, medianas multi-fuente y protecciones de desviación. Zunami en agosto de 2023 — tres años y medio después de bZx — lanzó una stablecoin con precio desde pools manipulables de Curve de todos modos. La tesis silenciosa del catálogo es exactamente esta: el conocimiento existe, es gratuito, y repetidamente no se aplica, y el coste acumulado de esa brecha se mide en miles de millones.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-zunami-protocol-hack-august-2023
  2. [02]decrypt.cohttps://decrypt.co/152366/zunami-protocol-curve-finance-hack
  3. [03]cryptopotato.comhttps://cryptopotato.com/zunami-protocol-exploited-for-over-2-million-native-stablecoin-uzd-plunges-99/

Registros relacionados