La plataforma DeFi bZX experimenta un nuevo hackeo de USD 8 millones debido una línea de código mal colocada

El protocolo DeFi Fulcrum, desarrollado por bZX, que había sido relanzado recientemente después de que una serie de hackeos en febrero obligaran al equipo a reagruparse, fue hackeado una vez más por unos USD 8 millones.

Según la divulgación del incidente por parte de bZX, el culpable es una línea de código colocada en el lugar equivocado del contrato de sus «iTokens», el token que representa la participación de un usuario en el conjunto de activos suministrados, lo que esencialmente es un saldo de depósito tokenizado.

Se desplegó rápidamente una solución para evitar que se produjeran más incidentes. Como destacó Anton Bukov, jefe de tecnología de 1inch.exchange, el arreglo simplemente movió una línea de código varias posiciones más abajo.

El error duplicaba los tokens cuando un usuario se enviaba una transacción a sí mismo a través de una función particular. Bajo el capó, el contrato simplemente resta el valor de la transacción del remitente y lo añade al del receptor. El contrato creaba variables temporales que representaban los saldos iniciales del emisor y el receptor, y las utilizaba para actualizarlos.

Sin embargo, en el caso de que el receptor y el emisor sean los mismos, la sustracción se produce después de que se fijaran las variables del saldo inicial. Esto significaba que la sustracción no tenía ningún efecto, por lo que los atacantes podían simplemente crear nuevos tokens a voluntad.

Los tokens duplicados se canjearon entonces por su garantía subyacente, y los hackers «poseían» ahora un porcentaje mucho mayor del fondo común que les permitía agotar 219,199.66 LINK, 4,502.70 Ether (ETH), 1,756,351.27 Tether (USDT), 1,412,048.48 USD Coin (USDC) y 667,988.62 Dai (DAI), valorados en un total de USD 8 millones.

La experiencia pasada llevó a bZX a crear un fondo de seguro para cubrir estos «eventos del cisne negro», por lo que las monedas robadas se debitaron en el fondo, que recibe el 10% de los ingresos del protocolo a través de las tasas de interés. Sin embargo, el protocolo de Fulcrum se quedó con solo USD 6 millones en valor total almacenados después del incidente.

El reembolso de esa deuda puede requerir, por tanto, una cantidad significativa de tiempo, y se basa en que el protocolo logre el éxito a pesar de sufrir esos errores. El equipo de bZX se comprometió a asegurar las prácticas con múltiples auditorías de Certik y PeckShield, así como un programa de recompensas por errores revigorizado.

Eso parece haber sido insuficiente, lo que resalta que crear un protocolo DeFi seguro es más difícil de lo que parece.

No dejes de leer: