Super Sushi Samurai, un juego blockchain nativo de la solución de capa 2 Blast, fue explotado horas antes de que se lanzara su tan esperado producto de juego.
El exploit, supuestamente orquestado por un hacker de sombrero blanco, ha resultado en una pérdida de 4,6 millones de dólares debido a un mistake en su código de contrato inteligente.
Mistake de contrato inteligente explotado
Según un anuncio del equipo de Super Sushi Samurai, el exploit se debió a un mistake en el código del contrato inteligente, que permitía a una parte no autorizada iniciar una función de menta infinita. Esto resultó en la creación de una cantidad excesiva de tokens que posteriormente se vendieron al fondo de liquidez.
Hemos sido explotados, está relacionado con la menta. Todavía estamos investigando el código. Las fichas se acuñaron y se vendieron en el LP.
Transacción: https://t.co/F4XeqdyJu2los fondos explotados están en esta billetera: https://t.co/NWeTu5vMkj
— Súper Sushi Samurái | SSS (@SSS_HQ) 21 de marzo de 2024
CertiK, una empresa de seguridad en cadena, confirmó el alcance del exploit y afirmó que se vieron afectados tokens por valor de 4,6 millones de dólares. Según los datos de CoinGecko, el exploit provocó una caída del valor del token del 99 % tras un volcado de token no autorizado. El atacante logró obtener 1310 ETH del principal fondo de liquidez del token explotando la vulnerabilidad del contrato inteligente.
Las investigaciones sobre el incidente revelaron que una parte no autorizada adquirió 690 millones de tokens SSS e inició una serie de transacciones a través de un contrato de ataque diseñado para este propósito.
El @SSS_HQ $SSS Los LP simplemente se agotaron debido a la explosión porque su contrato de token tiene un error por el cual transferirse todo el saldo a usted mismo lo duplica.
El orden de las operaciones disminuye el saldo para «desde» y luego establece el saldo para «hasta» si son la misma dirección, el… pic.twitter.com/RStMcFH3sy
— Café ☕️🍌 (@coffeexcoin) 21 de marzo de 2024
Explotando una vulnerabilidad dentro de la función de actualización de la plataforma, el atacante duplicó los tokens en su poder 25 veces, inflando la cantidad a 11,5 billones, que luego se intercambió por aproximadamente 1.310 ETH.
Esfuerzos de recuperación
Tras la infracción, Super Sushi Samurai se ha comprometido activamente con su comunidad, brindando actualizaciones y garantías a través de su canal oficial de Telegram y otras plataformas de redes sociales.
En una publicación de X, revelaron que el exploit fue realizado por un hacker de sombrero blanco que actualmente está en comunicación con su equipo. El mensaje del hacker, visible en Blastscan, indicaba que se trataba de una misión de rescate y que estaban en marcha planes para reembolsar a los usuarios afectados.
También han revelado la dirección que contiene los fondos comprometidos para facilitar el seguimiento y la posible recuperación de los activos perdidos y que están trabajando con el hacker de sombrero blanco para garantizar la devolución segura de los fondos.
1. Autopsia:
El contrato de token tiene un error por el cual transferirse todo el saldo a usted mismo lo duplica. h/t @cafeexcoin2. Detalles de los daños:
eth whole en el grupo antes del exploit: 1339,50 ETH
Sombrero blanco: 1.310,04 ETH
Sombrero negro: 40,28 ETH
Eliminamos LP y obtuvimos: 29.09 ETH3. Actualización:…
— Súper Sushi Samurái | SSS (@SSS_HQ) 22 de marzo de 2024
Mientras tanto, una actualización «post-mortem» de Super Sushi Samurai describe el alcance del daño, con negociaciones en curso para llegar a una resolución que proteja tanto a los usuarios como al hacker de sombrero blanco involucrado en el incidente.
OFERTA LIMITADA 2024 para lectores de CryptoPotato en Bybit: ¡Utilice este enlace para registrarse y abrir una posición BTC-USDT de $500 en Bybit Exchange de forma gratuita!
