Comparte este artículo
Un grupo de desarrolladores brasileños recuperó más de 200.000 dólares robados a una víctima después de que un explotador tuviera acceso a su billetera. Después de que su billetera estuviera comprometida, la víctima se puso en contacto con el fiscal Alexandre Senra, quien luego se dirigió a los desarrolladores con el objetivo de crear un grupo de trabajo para recuperar los fondos. Todo el calvario duró unos cinco meses.
Afonso Dalvi, DevRel y Product Manager Innovation en la startup Web3 Lumx, y también miembro del esfuerzo para recuperar fondos, explicó a Crypto Briefing que la primera y más difícil parte fue convencer a la víctima de que compartiera su clave privada.
“El hacker drenó todo el Ether de la billetera al instante, pero todavía había una cantidad significativa de fondos bloqueados en tres DeFi diferentes. [decentralized finance] aplicaciones”, dijo Dalvi. “Es difícil convencer a alguien de que comparta las llaves de su tesoro y este proceso tomó dos semanas”.
Pendle, una de las aplicaciones DeFi donde se bloquearon parte de los fondos, tiene una función de bloqueo de 54 días utilizada por el hacker para mantener los fondos bloqueados. Por lo tanto, comenzó una carrera para ver quién tendría acceso a la cantidad una vez finalizado el período de bloqueo. Esta vez el explotador salió victorioso.
“Desarrollamos un flashbot para capturar fondos, pero lo hicimos manualmente la primera vez porque pensamos que el hacker no tenía experiencia. Resulta que lo era. Luego adaptamos nuestra estrategia y logramos conseguir fondos para los próximos eventos de desbloqueo”, compartió Dalvi. En los últimos 30 días, este exploit acumuló 155.000 dólares mediante ‘ataques sándwich’.
Sin embargo, antes de comenzar a devolver los fondos a la víctima, Dalvi dijo que se aseguraron de que él no fuera, de hecho, el explotador. Después de confirmar que no estaban haciendo un trabajo para un explotador, los desarrolladores lograron recuperar más fondos estancados en Radiant, un mercado monetario en Arbitrum donde había más fondos estancados.
La última aplicación fue el servicio de apuesta para el token PAAL AI, y los desarrolladores pudieron obtener el resto del alijo de más de $200,000 y devolvérselo a la víctima. Además de casi cinco meses, todo el proceso exigió 4,4 ETH y la ayuda de un hacker de sombrero blanco que no quiso ser identificado.
Usando un proyecto de código abierto
Gustavo Deps y Eduardo Westphal da Cunha son otros dos desarrolladores que trabajan junto con Senra y Dalvi para sacar los fondos de la posesión del explotador. Deps dijo que utilizó el código fuente abierto de Flashbots, un servicio creado para evitar casos de extracción de valor máximo (MEV) en Ethereum, para construir el bot responsable de ejecutar al hacker.
“Necesitábamos enviar ETH para pagar las tarifas de gas dentro de la billetera de la víctima, luego usar esta misma cantidad de ETH para pagar el desbloqueo y, finalmente, sacar los fondos de la billetera comprometida. Sin embargo, no es posible hacerlo al mismo tiempo con una billetera normal, porque las tres transacciones deben estar en el mismo bloque, y una billetera normal insertará esas transacciones en bloques diferentes. Ahí utilizamos los Flashbots”, explicó Deps.
Además, los desarrolladores utilizaron un “robot de búsqueda”, que rastreaba las transacciones enviadas a la billetera de la víctima y tomaba los fondos antes de que el explotador pudiera usarlos para desbloquear fondos y moverlos a otra dirección.
El robot de recolección fue particularmente importante para capturar el rendimiento diario generado por los fondos bloqueados en tres protocolos diferentes, agregaron los Deps. “Las aplicaciones generaban alrededor de 130 dólares cada día y el hacker siempre intentaba quitarse este dinero”.
A pesar de la competencia dentro de la billetera por los fondos guardados en ella, los desarrolladores también tuvieron que aplicar tácticas MEV para capturar los fondos después de desbloquearlos de los protocolos DeFi, pagando tarifas 1.400 veces más caras que la tarifa normal en el momento de la ejecución.
Además de los fondos recuperados, todavía quedan casi 20.000 dólares atrapados en Radiant, que se están devolviendo progresivamente a la víctima. A pesar de ser un explotador experimentado en cadena, esta vez el mal agente encontró su rival.
Comparte este artículo