Este sábado a las 5:30 am UTC, un desarrollador de Meerkat Finance, identificado como «Jamboo», publicó un breve mensaje el canal de Telegram, Meerkatrefunds, en el que expresó que el exploit era un «ensayo» que probaba la codicia y subjetividad del usuario, y que el equipo se estaba preparando para reembolsar a todas las víctimas.
Jamboo proporcionó prueba de su asociación con Meerkat al enviar una pequeña transacción del implementador de Meerkat, demostrando que tienen acceso al contrato explotado. La transacción se procesó en la red de Binance Smart Chain aproximadamente 20 minutos después de la publicación en Telegram.
Meerkat fue un proyecto de bóveda de rendimiento que bifurcó el código de Yearn.Finance, una de las muchas bifurcaciones de protocolos nativos de Ethereum que pueblan BSC.
El ataque a Meerkat tuvo lugar inicialmente el 4 de marzo, un día después del lanzamiento de Meerkat, lo que resultó en una pérdida de 73000 BNB y $14 millones de la moneda estable BUSD, un total de 31 millones de dólares en fondos de los usuarios.
Los miembros de la comunidad no dudaron en etiquetar el exploit como un rugpull, un término para cuando una persona con información privilegiada o un miembro de un equipo de desarrollo explota un contrato utilizando permisos especializados, debido a que el contrato de implementación de Meerkat se actualizó para permitir que las bóvedas sean drenadas poco antes del ataque.
También se pensó que el exploit sería una prueba del reclamo de descentralización de Binance Smart Chain, que está gestionado por una red de 21 nodos de validación, muchos de los cuales se cree que están asociados o ejecutados directamente por Binance.
Del mismo modo, el exploit puso al atacante en una posición difícil: Binance controla las rampas de entrada y salida BSC, lo que significa que los fondos robados estaban bloqueados en la cadena y eran imposibles de obtener como ganancias.
Ahora la atención está centrada en los desarrolladores de Meerkat y sus motivaciones. El mensaje de Jamboo fue corto en detalles y solo contenía algunas referencias a lo que instigó al equipo a robar 31 millones de dólares de los usuarios. Jamboo escribió que el equipo «invitó a un tercero (hacker) a atacar la vulnerabilidad a través del contrato de verificación de proxy», y que pronto se publicará un informe completo sobre el exploit.
«DeFi es esencial, pero tiene muchos defectos. Está florecido por la codicia humana», dijo Jamboo.
