El protocolo de intercambio de futuros perpetuos basado en blockchain, Levana, anunció el miércoles que sufrió un exploit que resultó en la pérdida de alrededor de $1,1 millones en tokens de criptomonedas de sus fondos de liquidez.
Según los administradores, quienes al corriente en X, anteriormente Twitter, el incidente supuso un revés importante para el protocolo, agotando alrededor del 10% de las reservas. Afectó a siete billeteras identificadas como conectadas a un oráculo, que es un sistema utilizado por los protocolos blockchain para conectarse a sistemas externos, lo que les permite activarse en función de entradas del mundo real.
Levana es un tipo de mercado financiero basado en blockchain que permite a los usuarios negociar activos de futuros derivados «perpetuamente», lo que permite a los operadores especular sobre el precio futuro de los activos sin una fecha de vencimiento. A diferencia de los contratos de futuros tradicionales, que tienen un vencimiento fijo, los futuros perpetuos se pueden mantener indefinidamente. Los comerciantes pueden intercambiar estos activos entre ellos para obtener ganancias y requiere que el protocolo mantenga fondos de liquidez de tokens de criptomonedas para los pagos.
De acuerdo a un autopsia del ataqueLos administradores dijeron que el atacante aprovechó la congestión en la cadena de bloques Osmosis cuando el mercado estaba bajo una gran tensión creada artificialmente por un exploit. Eso permitió a los piratas informáticos manipular los precios, lo que permitió el exploit. Según Levana, un Un error en el código de mercado de tarifas de Osmosis significó que durante tiempos de congestión, «el precio del gasoline proporcionado era generalmente insuficiente para realizar transacciones o realizar actividades continuas de mantenimiento del bot».
Levana dijo que el ataque tuvo lugar entre el 13 y el 26 de diciembre. Durante ese tiempo, la congestión negó a los clientes normales la capacidad de realizar transacciones y los robots del protocolo no pudieron interactuar con su oráculo, llamado Pyth, lo que permitió a los piratas informáticos realizar un ataque. que les permitió drenar los fondos de liquidez.
El equipo enfatizó que Pyth fue una parte clave del ataque, pero no se conoce ninguna vulnerabilidad en él. «Se comportó exactamente como se esperaba», dijo el equipo de Levana.
Además del ataque, el equipo dijo que durante el período previo el protocolo sufrió un ataque de denegación de servicio distribuido diariamente desde el 17 de diciembre hasta el 26 de diciembre. Eso significó que una parte importante del equipo de ingeniería de Levana se dedicó a lidiar con ese ataque, que estaba generando inestabilidad en la plataforma.
«No está claro si existe alguna relación entre el ataque de congestión y esta serie de ataques DDoS», dijo el equipo. «Es una práctica común que los atacantes DDoS utilicen el ataque DDoS como una distracción de un ataque más insidioso».
Las posiciones y ganancias de los comerciantes existentes no se ven afectadas y permanecen abiertas o pueden cerrarse, dijo el equipo. Sin embargo, la apertura o modificación de posiciones existentes se ha detenido hasta una actualización la próxima semana. Y dado que se han detenido las posiciones abiertas, los depósitos existentes no están en riesgo por el exploit.
La vulnerabilidad explotada por los atacantes ha sido solucionada, dijo Levana, y el equipo la está probando actualmente. Cualquier proveedor de liquidez que haya sido afectado por el exploit durante la ventana del ataque también recibirá un reembolso. «Nuestro objetivo principal ahora es volver a poner en línea el protocolo lo antes posible de manera segura con aprendizajes significativos de la secuencia de múltiples etapas del exploit», dijo Levana.
Los protocolos, los intercambios y las empresas criptográficas han sido los principales objetivos de exploits y piratas informáticos a lo largo de 2023. Según estadísticas de De.FI, la empresa de seguridad Internet3 que gestiona el Foundation de datos DERECHALos piratas informáticos robaron alrededor de 2 mil millones de dólares en criptomonedas durante docenas de ataques cibernéticos este año. Algunos trucos notables incluidos 100 millones de dólares robados del importante intercambio de criptomonedas Poloniex en noviembre, $50 millones tomado del protocolo de finanzas descentralizadas Curve Finance y casi 200 millones de dólares robados de Euler Finanzas.
Imagen: Pixabay
Su voto de apoyo es importante para nosotros y nos ayuda a mantener el contenido Gratis.
Un clic a continuación respalda nuestra misión de proporcionar contenido gratuito, profundo y relevante.
Únase a nuestra comunidad en YouTube
Únase a la comunidad que incluye más de 15 000 expertos de #CubeAlumni, incluido el director ejecutivo de Amazon.com, Andy Jassy, el fundador y director ejecutivo de Dell Technologies, Michael Dell, el director ejecutivo de Intel, Pat Gelsinger, y muchas más luminarias y expertos.
GRACIAS
