El 31 de octubre de 202X, Garden Finance sufrió una brecha de seguridad significativa, que condujo al robo de 10,8 millones de dólares en múltiples blockchains. Una parte sustancial de estos fondos robados, específicamente 6,65 millones de dólares, se canalizó posteriormente a través del mezclador de privacidad Tornado Cash, lo que intensificó el escrutinio en torno a la conexión del exploit de Garden Finance y Tornado Cash y generó preocupaciones sobre la trazabilidad de los fondos y la seguridad de DeFi.
Desembalaje de la brecha de Garden Finance
La plataforma Garden Finance fue víctima de un exploit sustancial el 31 de octubre de 202X, lo que resultó en el drenaje ilícito de aproximadamente 10,8 millones de dólares en activos digitales. Este ataque de múltiples cadenas afectó a los fondos mantenidos en redes prominentes como Arbitrum, Ethereum y Solana. El investigador de blockchain ZachXBT fue uno de los primeros en identificar estas retiradas no autorizadas, sacando a la luz el incidente.
Tras la brecha, el equipo de Garden Finance extendió una oferta de recompensa de sombrero blanco del 10% al atacante, una práctica común en el espacio criptográfico con la esperanza de que se devuelvan los fondos. Sin embargo, esta propuesta no fue respondida y, en cambio, el perpetrador comenzó el proceso de blanqueo de los activos robados a través de protocolos de privacidad, lo que indica una clara intención de ocultar sus huellas.
Rastreo de criptomonedas robadas: La tubería del exploit de Garden Finance y Tornado Cash
La empresa de seguridad CertiK rastreó meticulosamente el movimiento de los fondos robados, confirmando que 6,65 millones de dólares del valor de la criptomoneda robada fueron transferidos a Tornado Cash. Esta suma incluía una cantidad significativa de 501 BNB y 1.910 ETH, deliberadamente enrutados a través del mezclador para anonimizar su origen y destino. Si bien una gran parte se ha blanqueado, aproximadamente 910.000 dólares en activos robados permanecen, según se informa, en la dirección de un atacante, lo que ofrece un rayo de esperanza para una posible recuperación, aunque sea escasa.
Narrativas contradictorias: La postura del equipo frente a la realidad en la cadena
Tras el exploit, el cofundador de Garden Finance, Jaz Gulati, emitió una actualización el 5 de noviembre de 202X, afirmando que la brecha se dirigió exclusivamente a la infraestructura web2 de un solucionador de terceros. Gulati declaró explícitamente: “Ningún fondo de usuario o contrato de protocolo se vio afectado” y mantuvo que “Todos los sistemas funcionaron según lo previsto en condiciones de fallo”. Posteriormente, el equipo esbozó planes para la restauración operativa, la mejora de la seguridad del solucionador y la integración de solucionadores independientes adicionales para reforzar la redundancia.
Sin embargo, esta narrativa fue rápidamente cuestionada por la evidencia en la cadena. ZachXBT compartió capturas de pantalla convincentes de un mensaje en la cadena originado en una dirección de despliegue de Garden, dirigido directamente al atacante. Este mensaje contradecía rotundamente la declaración pública, admitiendo inequívocamente que “nuestros sistemas han sido comprometidos en múltiples blockchains”. Esta flagrante inconsistencia entre la tranquilidad pública del equipo y la comunicación verificable en la cadena planteó serias preguntas sobre el verdadero alcance de la brecha y la transparencia de la comunicación del protocolo.
Un patrón de controversia: Alegaciones previas e implicaciones futuras
La saga del exploit de Garden Finance y Tornado Cash se complica aún más por las alegaciones preexistentes contra la plataforma. Antes del reciente incidente de seguridad, el investigador de blockchain ZachXBT había acusado a Garden Finance de facilitar el blanqueo de dinero. Afirmó que más del 25% de la actividad operativa de Garden estaba vinculada a fondos blanqueados procedentes de importantes hackeos, incluyendo una notable brecha de Bybit de 1.400 millones de dólares.
Añadiendo otra capa a esta compleja narrativa, Garden Finance fue desarrollado por antiguos desarrolladores de Ren Protocol. El propio Ren Protocol tenía un historial de procesamiento de más de 540 millones de dólares en fondos ilícitos antes de ser retirado de las principales bolsas, lo que proyecta una larga sombra sobre su sucesor. Los investigadores incluso han especulado que el notorio grupo de hackers vinculado a la RPDC conocido como “Dangerous Password” podría haber orquestado el ataque de Garden, destacando las sofisticadas y persistentes amenazas a las que se enfrentan los protocolos DeFi. Con millones ahora oscurecidos a través de un protocolo de privacidad, las perspectivas de recuperación de fondos parecen extremadamente escasas, lo que subraya la necesidad crítica de medidas de seguridad sólidas y una diligencia debida diligente en el panorama DeFi en constante evolución. Para aquellos que buscan navegar por estos complejos mercados y monitorear las tendencias de seguridad, herramientas como cryptoview.io ofrecen información valiosa.
