Un exploit de seguridad en el protocolo de apuestas Bedrock permitió a los usuarios intercambiar Universal Bitcoin, un Bitcoin envuelto en la plataforma, con Ethereum en una proporción de 1:1, a pesar de una diferencia de precio de más de 60.000 dólares.
El exploit, que ahora ha sido «manejado», resultó en el robo estimado de $2 millones del protocolo, en su mayoría de fondos de liquidez de intercambio descentralizados. El protocolo de participación dijo que está trabajando para recuperar los fondos perdidos, que se está «finalizando» un plan de reembolso y que compartirá la prueba de reservas «una vez que esté disponible».
Dedaub, la empresa de seguridad del protocolo de estaca, había notificado a Bedrock sobre la vulnerabilidad horas antes del ataque, pero la mayor parte del equipo estaba dormido, por lo que no pudo actuar a tiempo. La vulnerabilidad surgió como parte de una actualización del contrato que tuvo lugar 36 horas antes del ataque, que no coincidía con el tipo de cambio entre Ethereum y Bitcoin.
Bedrock aún no ha respondido a DescifrarLa pregunta de por qué el contrato no fue auditado antes de su puesta en marcha.
En muchos sentidos, el protocolo tuvo la suerte de que sólo se aceptaran 2 millones de dólares. Como explicó Dedaub, el exploit fue una «vulnerabilidad de menta infinita» en el token uniBTC, lo que significa que todos los fondos del protocolo podrían haberse agotado. Sin embargo, en colaboración con el grupo de sombrero blanco Seal 911, las pérdidas potenciales se minimizaron al suspender los protocolos de terceros expuestos a fondos en riesgo.
“Queremos informarles que el equipo de Bedrock está al tanto de un exploit de seguridad que involucra a uniBTC. El tema ha sido manejado y los fondos son SAFU”. Bedrock publicó en Twitter más de seis horas después de que se destacara en Twitter: “En este momento, no se requieren acciones adicionales por parte de nuestra comunidad. Tenga la seguridad de que todos los uniBTC en poder de los usuarios están seguros”.
⚠️Anuncio importante del equipo de Bedrock
Queremos informarle que el equipo de Bedrock está al tanto de un exploit de seguridad que involucra a uniBTC. El tema ha sido manejado y los fondos son SAFU.
Queremos asegurarles a todos que los BTC subyacentes envueltos y los BTC en reservas son…
— Base de roca | Recuperación de Bitcoin EN VIVO (@Bedrock_DeFi) 27 de septiembre de 2024
En el momento de escribir este artículo, uniBTC vale $63,450 mientras que Ethereum vale solo $2,660, según CoinGecko. Eso significa que por cada uniBTC que acuñó el atacante, habría obtenido más de 60.000 dólares.
La billetera inicial fue financiada por Tornado Cash, un mezclador de criptomonedas autorizado por el Tesoro de EE. UU., antes de realizar el exploit a las 6:28 p.m. UTC del jueves por una suma de $1,8 millones. Luego envió los fondos asignados a una nueva billetera que ahora contiene 650 ETH ($1,73 millones). Posteriormente, ambas direcciones recibieron mensajes de blockchain de la dirección del implementador de Bedrock.
“Nos gustaría comunicarnos con usted invitándolo a convertirse en sombrero blanco por el reciente incidente”, se lee en el mensaje. “¿Estaría interesado en trabajar con nosotros y hacer que el protocolo sea más seguro? Y estamos felices de trabajar para obtener una recompensa por su ayuda”.
Los hackers de sombrero blanco utilizan sus habilidades para ayudar a aumentar la seguridad de las plataformas mediante la identificación de exploits. Hay innumerables ejemplos de protocolos criptográficos que pierden millones en ataques para que luego se devuelvan los fondos, en un pivote de rescate de sombrero blanco.
Por ahora, sin embargo, este no parece ser el caso de Bedrock, ya que la billetera que contiene los fondos robados está inactiva.
Editado por Stacy Elliott.
Informe diario Hoja informativa
Comience cada día con las noticias más importantes del momento, además de funciones originales, un podcast, videos y más.