en
de
zh
fr
tr
pt
nl
ru
uk
hi
Un incidente reciente en el mundo de las finanzas descentralizadas (DeFi) ha llamado la atención sobre vulnerabilidades que pueden ser explotadas por atacantes. Un hacker aprovechó una vulnerabilidad en el protocolo US Permissionless Dollar (USPD) y retiró más de un millón de dólares en liquidez.
¿Cómo ocurrió el ataque?
Según un informe del equipo de USPD en redes sociales, un atacante desconocido depositó 3122 ETH y acuñó 98 millones de tokens USPD en una sola transacción. Como resultado, la cantidad de tokens creados fue diez veces mayor que el depósito inicial, y el hacker recibió 237 stETH adicionales. Los criptoactivos robados se intercambiaron por 300 000 monedas estables USDC a través de la plataforma de intercambio descentralizada Curve.
Tras descubrir la vulnerabilidad crítica en el protocolo, los desarrolladores de USPD instaron a los clientes a no comprar monedas estables USPD y a revocar inmediatamente todos los permisos.
Vector de Ataque CPIMP
El equipo de protocolo aclaró que para el ataque se utilizó un sofisticado vector de ataque llamado CPIMP (Proxy Clandestino en Medio del Proxy). El atacante obtuvo el control del servidor proxy hace varios meses. El 16 de septiembre, inició el proceso de inicialización mediante la transacción Multicall3. Mediante CPIMP, el hacker logró obtener sigilosamente privilegios administrativos y control total sobre los scripts del protocolo, lo que le permitió lanzar la emisión no autorizada de tokens.
Contrato Sombra
Para ocultar la configuración maliciosa a usuarios, auditores e incluso al explorador de la cadena de bloques de Ethereum, Etherscan, el atacante implementó un contrato sombra que redirigía las llamadas al contrato que se estaba verificando. Utilizando este camuflaje, manipuló datos de eventos y falsificó ranuras de almacenamiento para engañar a los exploradores de bloques y lograr que informaran de la ejecución de un contrato seguro. Esto le permitió controlar completamente el contrato inteligente durante varios meses hasta que actualizó el servidor proxy y emitió tokens para agotar el protocolo.
Respuesta del Equipo USPD
El equipo USPD declaró que ha involucrado a las fuerzas del orden, especialistas en seguridad y las principales plataformas de intercambio para investigar el incidente y rastrear el movimiento de fondos. Los desarrolladores de USPD ofrecieron al atacante un reembolso del 90% como recompensa por su cooperación, lo que subraya la gravedad de la situación y su compromiso de recuperar los fondos perdidos.
En Conclusión
Este incidente sirve como recordatorio de que incluso en el mundo de las finanzas descentralizadas, donde la seguridad y la transparencia son principios fundamentales, existen vulnerabilidades que los atacantes pueden explotar. Los equipos de desarrollo deben seguir trabajando para mejorar la seguridad de sus protocolos y prevenir ataques similares en el futuro.
