Hechos clave:
- Desarrolladores de 1inch.exchange hallaron una vulnerabilidad que exponía 2,5 millones de dólares.
- Dos ataques al servicio Fulcrum de bZx dejó pérdidas por 3.581 ethers, unos 945.000 dólares.
Los recientes ataques a la plataforma DeFi bZx, a través de su servicio de comercio Fulcrum, tendrían su origen en una vulnerabilidad hallada y reportada en enero, según se informó este jueves 20 de febrero. Desarrolladores de 1inch.exchange, un agregador de casas de cambio descentralizadas, publicaron un reporte detallado en el que aseguran que la falla fue descubierta hace más de un mes y que trataron de proteger los fondos de los usuarios.
El grupo de programadores encontró que el servicio de préstamos rápidos de Fulcrum, en funcionamiento en la red Ethereum, presentaba una falla con la que se podían robar 2,5 millones de dólares. El equipo de 1inch.exchange afirmó que se puso en contacto con el de Fulcrum para ayudar a resolver el problema, pero que su posible aporte fue desestimado y tampoco se informó a los usuarios sobre lo que estaba sucediendo.
El equipo de Fulcrum tardó casi 4 horas en manejar el problema y no obtuvimos detalles del equipo sobre el progreso. Además, el despliegue de la corrección tomó otras 12 HORAS debido al bloqueo de tiempo especial de actualización del sistema en el contrato inteligente. Así que hubo 16 horas durante las cuales cualquiera podía robar $ 2,5 millones (…) como nos contactamos con el equipo de Fulcrum y nos negaron contribuir con un white-hack, no pudimos ayudar legalmente a sus usuarios y nos vimos obligados a esperar y controlar sus contratos por transacciones sospechosas.
1inch.exchange
En respuesta a estas afirmaciones, Kyle Kistner, cofundador de bZx, señaló que estaban preparando un reporte final sobre lo ocurrido y que sería presentado a finales de febrero. El ejecutivo también dijo que habían acordado el pago de una recompensa «a pesar de que violaron nuestra política de divulgación al publicar la vulnerabilidad al público».
Extraoficialmente se informó que los programadores pidieron una recompensa de 40.000 dólares, aunque en su informe revelan que Fulcrum les propuso un pago de USD 5.000 que dudan se vaya a realizar, algo que, según ellos, no es importante. Se pudo conocer también que la empresa les había solicitado firmar un acuerdo de confidencialidad, pero 1inch.exchange no accedió.
Ahora con la publicación del reporte, Kistner dijo que probablemente esto cambie las cosas, pero que no habían tomado la decisión de no pagarles. Sobre los recientes ataques, Kistner indicó que el grupo «tienen motivos y habilidades técnicas, pero al final no creemos que estén detrás del ataque». Sobre este punto 1inch.exchange recalcó que ellos no estaban detrás de los ataques.
Entre el viernes 14 de febrero y el martes 18 la plataforma Fulcrum de bZx sufrió dos ataques con los que se explotó una vulnerabilidad en uno de sus contratos inteligentes. Entre ambos exploits los involucrados lograron hacerse con 3.581 ethers, lo que representó en ese momento unos 945.000 dólares americanos.
