Los hackeos y estafas en el ecosistema DeFi son más habituales de lo que parecen. La escasa regulación y la avaricia por ganar dinero rápidamente facilitan que muchos incautos pierdan su dinero. Ninguna red se salva y en Arbitrum, un exchange descentralizado ha dejado a sus usuarios sin nada y con un botín de 3 millones de dólares para sus creadores.
Swaprum y su principal reclamo
Swaprum era un protocolo descentralizado que actuaba de plataforma de intercambio en la red de Arbitrum. Había ganado gran popularidad por medio del ofrecimiento de intereses del 100% anual a a aquellos que depositasen liquidez en sus pools para facilitar el comercio en el mismo.
A priori estaba auditado por Certik, una de las empresas de auditoría más reconocidas del panorama. En cambio, cada vez menos personas confirman en la marca porque varios de sus proyectos auditados han acabado siendo fraudulentos o hackeados. Hace escaso un mes, sucedió con otro exchange descentralizado como Merlin en la blockchain zkSync.
Este exchange descentralizado (Dex) ofrecía su propio token $APR que repartían como incentivo en las diferentes piscinas de liquidez al igual que también genero mucho entusiasmo el airdrop del token, ya que contaba con un sistema de referidos.
Un tirón de alfombra de manual
Todo pintaba normal hasta que hace escasamente una semana, los creadores del protocolo vaciaron todos los activos depositados en las piscinas de liquidez para enviarlos a diferentes billeteras que seguramente controlaban ellos mismos.
Acababan de perpetrar la estafa denominada tirón de alfombra en español o más conocida como «rug pull» en inglés. Básicamente consiste en sustraer de los contratos inteligentes todo el dinero sin razón alguna. Desgraciadamente, no será el primer ni el último protocolo que haga esto.
No dejaron mucho rastro
Inmediatamente después de esto, cambiaron los diversos tokens almacenados por ethers y utilizaron varios bridges para transferir estos ethers de Arbitrum a Ethereum. Una vez allí, usaron Tornado Cash para que se perdiera el rastro del monto total.
Según Etherscan, han sido robados 1.620 $ETH que equivaldrían a unos 3 millones de dólares. Se puede ver en la siguiente captura como cada minuto, 100 $ETH se enviaban a Tornado Cash. El uso de este mezclador de criptomonedas dificulta el conocimiento de hacia dónde han ido a parar los tokens.
Además, se cercioraron de borrar todo rastro de cuentas en redes sociales para no dejar sospechas. Es una práctica muy habitual entre este tipo de estafadores. Por ese motivo, hay que investigar previamente si el equipo es conocido, ya que en caso contrario aumentan las posibilidades de aumentar este hackeo.
El token se fue a 0
Rápidamente el token $APR que se emitía como recompensa bajó un 99,99% en cuestión de segundos. Este tipo de tokens suelen ser muy volátiles y a pesar de esta caída abrupta por causa de fuerza mayor, suelen soportar una presión de venta fuerte.
El principal motivo es que los inversores los intercambian por otros más sólidos y robustos como las monedas estables o cualquier otro token de proyectos que mantengan en cartera. Por eso, holdear y especular con estos no suele salir bien.
Algunos consejos para mitigar daños
Para sufrir lo menos posible, es fundamental desconfiar de protocolos sospechosos que ofrecen intereses altos o son de nueva creación. Para ello, evita el depósito de cantidades que no se estén dispuestos a perder. Por último, una correcta distribución de wallets es esencial, usando una billetera con los fondos estrictamente necesarios para interactuar con protocolos nuevos.