Coinbase ganó 1 millón de dólares en medio del hackeo, pero no ha reembolsado a las víctimas

El ataque de un explotador en julio al gigante Finanzas descentralizado Curve Finanzas sacudió todo el mercado DeFi. Gran parte del dinero robado ha sido devuelto, pero no todos han sido recuperados.

Sin embargo, un titán de las Cripto, Coinbase, la mayor bolsa de EE.UU., tiene una ganancia de aproximadamente 1 millón de dólares vinculada al incidente, según participantes y observadores del mercado. No ha entregado esta ganancia inesperada a las víctimas. Y, para ser claros, actualmente no está obligado a hacerlo.

La extraña situación surge de una característica peculiar de la infraestructura de la economía DeFi.

Cuando se robaron activos de Curve por valor de 73 millones de dólares, el sistema de fijación de precios de activos de la plataforma quedó brevemente fuera de control. Un robot comercial notó esta oportunidad de arbitraje única en la vida y aprovechó la oportunidad, pagando 570 ETH (por un valor de $1,06 millones en ese momento) para asegurarse de que un validador de blockchain de Ethereum procesara su operación lo más rápido posible. Fue el segundo pago más grande jamás vinculado a la práctica conocida como MEV.

Los validadores ejecutan la red Ethereum y hay muchos de ellos. En este caso, Coinbase fue el validador que recibió el pago, según Alchemix, que perdió dinero durante el exploit Curve, y datos de Nansen que muestran que Coinbase fue el destinatario del dinero.

Si bien se ha recuperado la mayor parte de los 73 millones de dólares en activos perdidos en el hack de Curve, el protocolo Alchemix , en el que el hacker saqueó 22 millones de dólares de sus tokens basados ​​en Curve, dijo que Coinbase ha rechazado las solicitudes para devolver el dinero que ganado como resultado del atraco.

"Coinbase no ha mostrado ninguna voluntad de devolver los fondos, a pesar de haberse beneficiado directamente del exploit", dijo Alchemix a CoinDesk en un comunicado.

Alchemix, que argumenta que Coinbase se queda con el dinero robado, dice que los representantes de Coinbase le han dicho que no existe ningún requisito legal para reembolsar a nadie.

Un portavoz de Coinbase dijo que la compañía "no tiene nada adicional que compartir en este momento" y rechazó una Request para hacer comentarios.

La controversia subraya la tensión entre los ideales libres de “el código es ley” de las Finanzas basadas en blockchain y la frustrante falta de recursos para las víctimas del robo de Cripto .

Según DefiLlama, este año se han robado activos digitales por valor de unos 735 millones de dólares mediante hackeos; La ubicuidad de los exploits Cripto (y la dificultad de recuperar fondos después de que ocurren) se cita con frecuencia como un elemento disuasivo clave para los posibles usuarios de la Tecnología.

La saga Coinbase-Curve proporciona una ventana única al complicado proceso de recuperación de activos que sigue a la mayoría de los ataques Cripto . El intrincado mundo de los algoritmos de comercio de Cripto y las oportunidades de arbitraje espontáneas pueden dificultar el seguimiento de dónde terminan los fondos después de ser robados de un protocolo de Cripto . Con frecuencia, los mayores beneficiarios de un robo de Cripto terminan en esa posición por accidente, ganando tarifas sorpresa a cambio de ejecutar ciertos tipos de infraestructura blockchain.

Esta es la situación en la que se encuentra Coinbase. Si la compañía debe o no reembolsar a las víctimas de Curve con los fondos que obtuvo como resultado del atraco, o si esos fondos son incluso "dinero sucio" en primer lugar, es en gran medida una cuestión de interpretación.

El ataque del 30 de julio a Curve aprovechó un error en el código de ciertos fondos de liquidez : cestas de Criptomonedas prestadas por los usuarios de la plataforma para ayudar a facilitar los intercambios de tokens "descentralizados". Se perdió un total de 73 millones de dólares en activos y el evento sacudió a los Mercados de Criptomonedas en general debido a la posición de Curve como piedra angular del ecosistema DeFi de Ethereum.

ONE de los pools drenado en el ataque contenía ether ( ETH ) y alETH, un derivado de ether emitido por Alchemix, una plataforma de préstamos DeFi. Antes del ataque, el grupo tenía 7.259 ETH y 4.822 alETH, dijo Alchemix . Luego, el explotador drenó la mayoría de los tokens, dejando solo 1 ETH y 3.856 alETH.

Los comerciantes utilizan fondos de liquidez para intercambiar tokens, y el tipo de cambio entre dos tokens cualesquiera en un fondo se establece según la proporción de activos en ese fondo.

Tras el exploit de Curve, el enorme desequilibrio entre los tokens ETH y alETH en el grupo ETH/alETH creó una oportunidad de arbitraje, abriendo la posibilidad a los operadores inteligentes de comprar alETH con un gran descuento. Un robot comercial notó la oportunidad y compró el alETH restante en el pool por una miseria, vendiéndolos rápidamente por frxETH (otro derivado de ETH ), que luego intercambió por ETH, según muestran los datos de blockchain.

El robot comercial solo obtuvo 43 ETH de las transacciones. La mayoría de las ganancias de la operación fueron al validador (en este caso, el de Coinbase) que anotó la transacción en el libro mayor de Ethereum. La tarifa inusualmente alta de 570 ETH, según los datos de blockchain , sirvió como incentivo para persuadir al validador de priorizar automáticamente la transacción del bot por delante de otros que buscan realizar la misma operación.

Esta controvertida práctica de ordenar estratégicamente transacciones de blockchain para aprovechar oportunidades comerciales espontáneas se llama valor máximo extraíble (MEV). La tarifa de arbitraje de alETH marcó el segundo pago MEV más alto para una sola transacción en la historia de la cadena de bloques Ethereum , según un informe de Flashbots, una empresa líder en MEV.

Sigue leyendo: La debacle de la curva desencadena un frenesí de transacciones, enviando las recompensas 'MEV' de Ethereum a un nivel récord

Tras una recompensa pública y un ultimátum , el explotador de Curve devolvió los 22 millones de dólares en ETH y alETH robados a Alchemix. Los sombreros blancos (actores de buena fe que encabezaron al hacker y drenaron los fondos antes de que pudieran ser robados) también devolvieron activos por valor de 13 millones de dólares, informó CoinDesk .

Aunque no estaban obligados a hacerlo, un operador de robot comercial conocido como c0ffeebabe. ETH devolvió 2.879 ETH , por un valor de casi 5,5 millones de dólares, a Curve.

El robot de comercio de arbitraje que se benefició del desequilibrio de alETH (la transacción con la que Coinbase ganó $1 millón) devolvió su ganancia de 43 ETH después de que el equipo de Alchemix la solicitara.

Pero Alchemix dice que Coinbase no ha hecho lo mismo.

"Es una locura", dijo en un mensaje de Telegram el detective seudónimo de blockchain Ogle , fundador de Ogle Security Group que se especializa en la recuperación de activos de robos de Cripto , incluido el exploit Curve. "Intenté negociar con ellos y hablé por teléfono, pero no me devuelven el dinero incluso después de admitir que fue robado".

"Citan neutralidad y descentralización y citan algunos argumentos resbaladizos como decir que no se puede esperar que prevengan todos los delitos en la cadena de bloques, que las carreteras no son responsables de las personas que cometen delitos en ellas, ETC", dijo Ov3rkoalafied, un Colaborador de Alchemix que también asistió a una llamada con Coinbase.

"Es una mala analogía porque no son un bien público y se benefician directamente de estas operaciones", añadió. “Si alguien utiliza su producto con fines delictivos y usted no lo sabe, no se le puede responsabilizar. Pero si recibe un informe sobre la comisión de un delito específico y, a sabiendas, se beneficia de ello, se espera que devuelva esos fondos”.

ACTUALIZACIÓN (15 de septiembre de 2023, 16:45 UTC): agrega datos de Nansen en el quinto párrafo.