$145K Perdido a medida que los Hackers utilizan Merkl para lanzar estafas DeFi no verificadas

Los hackers han encontrado una nueva forma de explotar a los usuarios de finanzas descentralizadas (DeFi). Esta vez, utilizaron Merkl, una plataforma de incentivos DeFi todo en uno, para crear campañas falsas y no verificadas y drenar los depósitos de los usuarios. La estafa tuvo como objetivo a los usuarios de Sonic a través del protocolo Euler. Ya ha causado pérdidas de más de $145,000.

Los Hackers Crean Campañas Falsas de Alto Rendimiento

Según el usuario de DeFi YAM, un actor malintencionado aprovechó la configuración abierta de Merkl para crear campañas falsas. Que parecían ofrecer retornos de APR de tres dígitos. La estafa invitaba a los usuarios a depositar USDC en lo que parecía ser un vault legítimo de Euler en Sonic. Sin embargo, una vez que los usuarios depositaron sus fondos, el atacante los drenó completamente.

Debido a que Euler Finance es un protocolo sin permisos, cualquier persona puede desplegar mercados sin aprobación. El atacante utilizó esta característica para lanzar un mercado falso. Usando un token llamado scUSD como colateral y USDC como deuda. Luego manipularon el precio del oráculo, un feed de datos clave utilizado en DeFi, estableciéndolo en un absurdo $1 millones por token. Esto les permitió pedir prestados 700,000 USDC contra un solo scUSD. Esto les da efectivamente el control total de los fondos de la bóveda.

Cómo funcionó la estafa

Una vez que el mercado falso estuvo en funcionamiento, el atacante lanzó una campaña no verificada en Merkl. Está promoviendo rendimientos extremadamente altos para atraer depósitos. Los usuarios que depositaron USDC en la campaña tuvieron sus fondos prestados, intercambiados por ETH. Luego se transfirieron al Proyecto RAILGUN, un protocolo de privacidad que se usa a menudo para ocultar transacciones.

Los datos en cadena muestran la dirección de la billetera del operador principal como 0x8ba913e…, con fondos que finalmente se enviaron a 0xa86399… antes de desaparecer en RAILGUN. Curiosamente, un usuario, identificado como 0xc0f8fe…, logró retirar su depósito antes de que el atacante lo drenara. Probablemente porque el hacker no estaba monitoreando activamente la bóveda.

Reacciones de la comunidad DeFi

Tras el descubrimiento, YAM instó a los usuarios a tener precaución al interactuar con campañas de Merkl no verificadas. También hicieron un llamado al equipo de Merkl para que dificultara más el depósito en tales campañas añadiendo advertencias emergentes más contundentes.

Michael Bentley, cofundador y CEO de Euler Labs, respondió confirmando. Que el vault en cuestión estaba claramente marcado como no verificado y etiquetado como un riesgo de seguridad. Señaló que el sitio web de Euler solo permite el acceso a vaults no verificados después de que los usuarios activan manualmente una opción reconociendo el riesgo. “Ahora estamos bloqueando permanentemente todos los enlaces a este vault en particular para prevenir su uso adicional”, agregó Bentley.

Los miembros de la comunidad también plantearon preguntas sobre cómo los usuarios de DeFi pueden verificar si el oracle de un mercado es legítimo. YAM explicó que los oráculos proporcionan datos de precios del mundo real a las aplicaciones de DeFi. A menudo son controlados por los curadores del mercado y deben configurarse cuidadosamente. Un pequeño error, como un decimal incorrecto o un multisig no seguro, puede abrir las puertas a grandes exploits como este.

Llamados a Salvaguardias Más Fuertes

El incidente destaca un problema recurrente en DeFi. El equilibrio entre la innovación sin permisos y la seguridad del usuario. Plataformas como Merkl y Euler permiten a cualquiera crear o unirse a mercados libremente. Pero esa apertura también da a los atacantes espacio para actuar. Mientras que los proyectos marcan claramente las campañas no verificadas. El creciente número de estafas muestra que las advertencias por sí solas pueden no ser suficientes.

Los usuarios ahora están pidiendo más fricción, como verificaciones de verificación obligatorias o confirmaciones adicionales, para proteger los depósitos. Actualmente, los expertos están aconsejando a los usuarios que interactúen solo con campañas verificadas y que verifiquen los detalles del contrato antes de depositar fondos. La explotación de $145,000 sirve como otro recordatorio de que incluso en el mundo abierto de DeFi, la precaución es la mejor defensa.