El atacante de la red PAID obtiene 3 millones de dólares en un ataque de emisión infinita

Paid Network, una plataforma de DeFi dirigida a empresas del mundo real, ha sido vulnerada el día hoy en un ataque de “emisión infinita” que ha provocado que los precios de los tokens PAID caigan más del 85%.

Si bien el incidente generó casi USD 180 millones en tokens PAID en el momento que se llevó a cabo el ataque, lo que habría sido la mayor vulneración de un protocolo DeFi, el botín del hacker acabará siendo mucho menor. Un observador señaló que la billetera del atacante sólo convirtió algunos de sus tokens en Wrapped Ether, dejando el resto en tokens PAID que se devalúan rápidamente: 

La billetera del atacante todavía tiene más de 57 millones de tokens PAID por un valor de USD 37 millones.

El incidente es conceptualmente similar a un ataque al protocolo de seguros Cover que tuvo lugar a finales de diciembre del año pasado. En ese caso, el equipo tomó una “instantánea” de los poseedores antes del ataque y emitió un nuevo token, devolviendo el suministro del token a los niveles previos al ataque.

El equipo confirmó en Twitter que actualmente están planeando una instantánea y restauración:

Sin embargo, los poseedores de tokens ansiosos por una resolución pueden no tener suerte. Algunos en la comunidad están especulando que el ataque a PAID no fue un exploit en absoluto, sino un “rugpull”, un término coloquial para designar a una persona con información privilegiada que diseña contratos para hacerlos específicamente vulnerables y robar los fondos de los usuarios.

Nick Chong, de Parafi Capital, señaló en Twitter que el contrato de despliegue de Paid, una cuenta controlada externamente, transfirió la propiedad del desplegador al atacante poco antes de la emisión de nuevos tokes, lo que indica que un miembro del equipo hizo el “rugpull” o permitió que el ataque consiguiera entrar con una falla de seguridad:

Además, una cuenta de análisis de riesgos de DeFi @WARONRUGS advirtió exactamente sobre esta vulnerabilidad a finales de enero, y señaló que el propietario del contrato puede emitir tokens PAID en cualquier momento:

Una nota on-chain enviada al atacante advirtió siniestramente que “el LAPD se pondrá en contacto con Kyle Chasse muy pronto”. Kyle Chasse es el CEO de Paid Network.

Paid Network no respondió a una solicitud de comentarios al momento de la publicación de esta historia.

Sigue leyendo: