-
Desarrolladores de 1inch.exchange hallaron una vulnerabilidad que exponรญa 2,5 millones de dรณlares.
-
Dos ataques al servicio Fulcrum de bZx dejรณ pรฉrdidas por 3.581 ethers, unos 945.000 dรณlares.
Los recientes ataques a la plataforma DeFi bZx, a travรฉs de su servicio de comercio Fulcrum, tendrรญan su origen en una vulnerabilidad hallada y reportada en enero, segรบn se informรณ este jueves 20 de febrero. Desarrolladores de 1inch.exchange, un agregador de casas de cambio descentralizadas, publicaron un reporte detallado en el que aseguran que la falla fue descubierta hace mรกs de un mes y que trataron de proteger los fondos de los usuarios.
El grupo de programadores encontrรณ que el servicio de prรฉstamos rรกpidos de Fulcrum, en funcionamiento en la red Ethereum, presentaba una falla con la que se podรญan robar 2,5 millones de dรณlares. El equipo de 1inch.exchange afirmรณ que se puso en contacto con el de Fulcrum para ayudar a resolver el problema, pero que su posible aporte fue desestimado y tampoco se informรณ a los usuarios sobre lo que estaba sucediendo.
El equipo de Fulcrum tardรณ casi 4 horas en manejar el problema y โโno obtuvimos detalles del equipo sobre el progreso. Ademรกs, el despliegue de la correcciรณn tomรณ otras 12 HORAS debido al bloqueo de tiempo especial de actualizaciรณn del sistema en el contrato inteligente. Asรญ que hubo 16 horas durante las cuales cualquiera podรญa robar $ 2,5 millones (…) como nos contactamos con el equipo de Fulcrum y nos negaron contribuir con un white-hack, no pudimos ayudar legalmente a sus usuarios y nos vimos obligados a esperar y controlar sus contratos por transacciones sospechosas.
1inch.exchange
En respuesta a estas afirmaciones, Kyle Kistner, cofundador de bZx, seรฑalรณ que estaban preparando un reporte final sobre lo ocurrido y que serรญa presentado a finales de febrero. El ejecutivo tambiรฉn dijo que habรญan acordado el pago de una recompensa ยซa pesar de que violaron nuestra polรญtica de divulgaciรณn al publicar la vulnerabilidad al pรบblicoยป.
Extraoficialmente se informรณ que los programadores pidieron una recompensa de 40.000 dรณlares, aunque en su informe revelan que Fulcrum les propuso un pago de USD 5.000 que dudan se vaya a realizar, algo que, segรบn ellos, no es importante. Se pudo conocer tambiรฉn que la empresa les habรญa solicitado firmar un acuerdo de confidencialidad, pero 1inch.exchange no accediรณ.
Ahora con la publicaciรณn del reporte, Kistner dijo que probablemente esto cambie las cosas, pero que no habรญan tomado la decisiรณn de no pagarles. Sobre los recientes ataques, Kistner indicรณ que el grupo ยซtienen motivos y habilidades tรฉcnicas, pero al final no creemos que estรฉn detrรกs del ataqueยป. Sobre este punto 1inch.exchange recalcรณ que ellos no estaban detrรกs de los ataques.
Entre el viernes 14 de febrero y el martes 18 la plataforma Fulcrum de bZx sufriรณ dos ataques con los que se explotรณ una vulnerabilidad en uno de sus contratos inteligentes. Entre ambos exploits los involucrados lograron hacerse con 3.581 ethers, lo que representรณ en ese momento unos 945.000 dรณlares americanos.