StarsArena parchea exploit tras robo de algunos fondos

Según informes en las redes sociales el 5 de octubre, la aplicación web3 StarsArena en Avalanche perdió parte de sus fondos debido a un ataque malicioso.

Lilitch.eth, un usuario de StarsArena, descubrió la vulnerabilidad y la anunció en X, anteriormente conocido como Twitter. Lilitch.eth afirmó que se perdieron más de un millón de dólares en el ataque. El equipo de StarsArena confirmó el ataque, calificándolo como una “guerra” contra la aplicación. Dijeron que el ataque solo resultó en pérdidas de aproximadamente USD 2,000 y que la vulnerabilidad ha sido parcheada.

THE EXPLOIT HAS BEEN FIXED.

BUT DON’T GET THIS WRONG WE ARE AT WAR.

We’re being targeted by malicious actors in the space that want to steal your money.

The little guy is under attack.

You are under attack.

Your right to platform diversity is under attack.

Don’t get it… pic.twitter.com/DmbMdf9cAq

— Stars Arena (@starsarenacom) October 5, 2023

StarsArena es una aplicación de redes sociales Web3 que funciona en la red Avalanche. Similar a Friend.tech, permite a los usuarios comprar “acciones” o activos tokenizados emitidos por creadores de contenido. Los emisores pueden otorgar a los propietarios de tokens acceso a contenido exclusivo u otras ventajas. Avalanche ha experimentado un aumento de actividad desde el lanzamiento de StarsArena, pues el recuento diario de transacciones en la red aumentó más del 186% del 3 al 4 de octubre.

En la mañana del 5 de octubre, Lilitch.eth declaró en X que StarsArena estaba siendo vaciada de fondos. “Se están drenando 1.1 millones de dólares en este momento debido a desarrolladores novatos que no pudieron hacer una copia de http://Friend.tech que funcione correctamente”, afirmó Lilitch, agregando “Si tienes CUALQUIER ACCIÓN en StarsArena, deberías vender mientras aún puedas”. En la publicación, mostraron una imagen de un contrato en la dirección 0xA481B139a1A654cA19d2074F174f17D7534e8CeC que contenía aproximadamente 107,329 tokens Avalanche (AVAX), con un valor de más de un millón de dólares en ese momento.

@starsarenacom, you fucked up

1.1 million dollars are being drained right now because of noob devs who couldn’t make a copy of https://t.co/h7traLwG9i that will work properly

If you hold ANY SHARES in StarsArena you should sell while you still can

read next⬇️ pic.twitter.com/HzgXvJc8ju

— lilitch.eth (@0xlilitch) October 5, 2023

En respuesta, algunos usuarios acusaron a Lilitch de “fudding” (propagar miedo, incertidumbre y duda). Por ejemplo, Mork, desarrollador de ZSwapDEX, afirmó que “ningún explotador puede obtener beneficios de esto porque el costo del gas para ejecutar la transacción es mayor que el Avax extraído” y “son contratos proxy, pueden actualizarse”.

El equipo de StarsArena respondió con una publicación en X que decía que “EL EXPLOIT HA SIDO PARCHEADO“. Afirmaron que los atacantes estaban gastando USD 5 en gas para drenar USD 1 de la aplicación en un intento de destruir su credibilidad. “Estamos en guerra”, decía la publicación, afirmando que la aplicación estaba experimentando “FUD coordinado”. El equipo realizó un evento en Twitter Spaces para explicar a los usuarios lo que estaba sucediendo. En el evento, explicaron que solo se habían perdido alrededor de USD 2,000 en el ataque.

En respuesta a la publicación del equipo, Lilitch negó que los atacantes estuvieran gastando USD 5 en gas para drenar USD 1. “Nadie estaba gastando USD 5 para obtener USD 1 de tu TVL, cálmate”, afirmaron. En cambio, afirmaron que los atacantes se detenían cuando los precios del gas se volvían demasiado altos para que el ataque fuera rentable. Lilitch también negó estar haciendo “guerra” contra la aplicación. En otra publicación, afirmaron apoyar la aplicación ahora que ha sido parcheada, afirmando “el conflicto se resolvió, ahora somos amigos @starsarena to the moon”.

Los usuarios de Friend.tech han estado enfrentando una ola de ataques SIM-swap, dejando a sus usuarios y a los de aplicaciones similares en alerta. El 5 de octubre, el equipo de Friend.tech implementó una función para eliminar los métodos de inicio de sesión para ayudar a combatir el problema.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.