Uno de los principales desarrolladores detrás de DeFiLlama, un portal que analiza protocolos de finanzas descentralizadas (DeFi), cree que un hackeo a Friend.tech, una red social descentralizada en Base, una plataforma de capa 2 respaldada por Coinbase, será más “devastador”. ” que la reciente violación de Balancer, cuyo front-end fue explotado y supuestamente se robaron activos por valor de más de $ 238,000.
En la evaluación del analista, la red social puede verse comprometida de tres maneras, afirmando que cualquier exploit iniciado desde el front-end podría hacer que los usuarios de Friend.tech pierdan fondos simplemente “abriendo la aplicación”, añadiendo que no tendrán “que hacer nada.”
Tres formas en que los usuarios de Friend.tech pueden perder fondos si son pirateados
Al analizar el modelo de seguridad de Friend.tech, el analista explicó que si su iframe directo se veía comprometido, un pirata informático podría obtener acceso no autorizado a los fondos del usuario.
En el desarrollo web, el iframe directo permite a los usuarios insertar enlaces, que pueden ser de redes sociales o incluso de Google. Todo lo que el desarrollador necesita es habilitar la adición de HTML antes de formatear usando CSS.
Si bien el iframe directo es fácil de usar y flexible, también introduce riesgos de seguridad. Esto se debe a que, al permitir que cualquiera inserte código HTML, los agentes maliciosos pueden optar por incrustar código corrupto.
Además del iframe directo, el analista también señaló que un hackeo al iframe privado de Friend.tech puede provocar la pérdida de fondos. Señala que el iframe privado de la plataforma contiene las claves privadas, lo que permite a los usuarios conectar fácilmente la dapp con sus billeteras sin custodia, como MetaMask.
Privy iframe es fundamental en DeFi, ya que forma la infraestructura crítica para los intercambios descentralizados (DEX) y los mercados de tokens no fungibles (NFT) que operan en redes públicas como Ethereum o BNB Chain.
Precio de BNB el 21 de septiembre | Fuente: BNBUSDT en Binance, TradingView
Un iframe privado permite a los desarrolladores integrar una billetera Privy. Una billetera Privy no tiene custodia, lo que significa que el usuario final tiene el control de las claves privadas necesarias. Al mismo tiempo, están aislados para garantizar que terceros o incluso otros códigos no puedan acceder a las claves privadas del usuario.
Además, el analista señala que si el iframe privado de Friend.tech pierde datos, los fondos no serían accesibles ya que contienen 2/3 de los fragmentos, lo que esencialmente equivale a perder claves privadas.
El truco del equilibrador
El 19 de septiembre, fue pirateado el front-end de Balancer, un protocolo DeFi que permite a los usuarios crear y administrar fondos de liquidez personalizados. Peckshield, una plataforma de seguridad blockchain, estimó que se habían robado al menos 238.000 dólares en activos antes de que Balancer pidiera a los usuarios que no interactuaran con el portal. Al interactuar con el protocolo, algunos usuarios notaron que se les solicitaba cambiar cadenas y aprobar contratos maliciosos.
Las estadísticas de DeFiLlama afirman que al menos 7 mil millones de dólares en activos han sido robados mediante hackeos. Según la plataforma de análisis DeFi, además del hackeo de Balancer, otros exploits notables que resultaron en pérdidas significativas incluyen la violación de Remitano, donde los piratas informáticos robaron 2,7 millones de dólares, y la de Curve, donde se perdieron más de 61 millones de dólares.
La cantidad total de activos robados mediante hacks| Fuente: DeFiLlama
Imagen destacada de Canva, gráfico de TradingView