El 12 de abril de 2022, EM sufrió un ataque al sistema por parte de varios actores maliciosos. Se trató de un ataque coordinado que requirió planificación y recursos para ejecutarse con éxito.
No se trató de una ataque a los contratos. Los contratos inteligentes que rigen EM siguen siendo seguros y robustos.
Se trató de un ataque "flash-loan", una forma común de ataque utilizada en el espacio criptográfico. Este ataque utilizó un volumen de 260 millones de dólares para explotar el mecanismo de acuñación/canje de EM, manipular los fondos de liquidez de EM y, en última instancia, drenar fondos del Tesoro de Elephant (aproximadamente 12 millones de dólares en total).
En ese momento, el valor del Tesoro rondaba los 80 millones de dólares. El ataque provocó una cascada de ventas a medida que el miedo se extendía entre los inversores. En otras palabras, la mayor parte del daño lo causaron las ventas de los inversores presas del pánico, más que el ataque en sí.
En toda esta crisis, el manejo de la situación por parte del responsable del proyecto (Bankteller) fue ejemplar. Se pausó el protocolo inmediatamente, para protegerlo de nuevas explotaciones y, en el plazo de un mes, los contratos inteligentes se actualizaron, auditaron(*****) y el sistema volvió a estar operativo y en línea.
Desde el ataque, se han introducido numerosas actualizaciones y funciones para facilitar la recuperación del sistema y mejorarlo. Todo el sistema ha ido evolucionando en tiempo real de tal manera que ahora se encuentra en una posición mucho más sólida que antes del exploit.
Es importante entender que los ataques de esta naturaleza son una parte normal y necesaria del desarrollo de software. No siempre es posible prevenirlos, pero con un buen diseño es posible compartimentar y crear sistemas que puedan curarse a sí mismos... y esto es lo que hemos aprendido de EM.
La experiencia de su desarrollador (ex vicepresidente de desarrollo de software en Fidelity) ha quedado demostrada, no sólo por su respuesta al ataque, sino por la robustez del sistema que ha diseñado y tras el ataque, EM ha conseguido superar a la mayoría del mercado.
El desglose completo del exploit puedes encontrarlo aquí: (en inglés)