Noticias

Los piratas informáticos roban $ 31 millones en criptografía al explotar un error de software tonto

Blockchain Startup MonoX Finanzas Miércoles confirmado que un pirata informático robó $ 31 millones en tokens digitales al explotar una vulnerabilidad en el servicio de software que usa para escribir contratos inteligentes.

Según MonoX, un protocolo de finanzas descentralizadas (DeFi) que permite a los usuarios proporcionar liquidez con activos individuales en Ethereum (ETH) y Polygon, dijo que el exploit fue causado por un error de contrato inteligente que permite que el token vendido y comprado sea el mismo. . .

En el caso del ataque, fue la señal MONO nativa. El hacker usó el mismo token que tokenIn (token enviado por el usuario) y tokenOut (token recibido por el usuario), que son métodos para intercambiar un valor de token por otro.

Después de cada intercambio, MonoX actualiza los precios calculando nuevos precios para ambos tokens. Cuando se completa el intercambio, el precio de tokenIn disminuye y el precio de tokenOut aumenta.

Cuando un intercambio estaba en curso, el hacker manipuló el precio del token MONO usando el mismo token tanto para tokenIn como para tokenOut. Luego, el atacante usó el MONO de alto precio para comprar todos los demás activos del grupo y agotó los fondos.

Sin embargo, el software que envía transacciones no debería haber permitido tales transacciones, que podrían intercambiar el mismo token.

En el pasado, había MonoX inspección por dos auditores de contratos inteligentes: Peckshield y Halborn. Pero ninguno de ellos pudo explotar la vulnerabilidad que el hacker usó para eliminar los contratos inteligentes del protocolo.

El equipo de MonoX lanzó el debajo de la declaración confirmando qué pasos ha tomado en las últimas 24 horas después del hackeo:

  • Se intentó contactar al atacante para abrir un diálogo enviando un mensaje a través de una transacción en ETH Mainnet
  • El contrato se suspendió e implementará una solución para someterse a pruebas más rigurosas. Después de armar un plan de compensación adecuado, trabajaremos sin parar después de que nuestros socios de seguridad den el visto bueno.
  • Se ha contactado a los principales intercambios para monitorear y posiblemente detener cualquier dirección de billetera relacionada con el ataque.
  • Colabore con nuestros consultores de seguridad para avanzar en la identificación del hacker y cómo mitigar el riesgo futuro
  • Interacciones de referencias cruzadas de billetera a billetera de Tornado Cash que también han utilizado nuestra plataforma
  • Se buscó cualquier metadato dejado por las interacciones iniciales con nuestra Dapp
  • Direcciones de billetera detalladas y mapeadas que podrían considerarse «sospechosas» en función de su interacción con nuestro producto. Por ejemplo, eliminar una gran cantidad de liquidez antes del cultivo
  • Monitoreo continuo de la billetera con los fondos. Hasta ahora, se han enviado 100 ETH a Tornado Cash de los fondos robados. El resto sigue ahí.
  • Además, presentaremos un informe policial formal.

La declaración también decía que MonoX Finance Seguro de $ 1 millón de Tide para cubrir pérdidas y que la compañía ahora está «trabajando en distribuciones».

«Sepa que resolver el problema está al frente de nuestros pensamientos y, lo que es más importante, cómo podemos restaurar lo que nuestra comunidad ha perdido. Esté atento a un plan de compensación en el futuro cercano. Esto también es evidente, pero ni siquiera consideraremos la reimplementación hasta que hayamos sido nuevamente auditados exhaustivamente”, concluyó el equipo de MonoX.

“Sabemos que llevará tiempo que el público vuelva a confiar en nosotros, pero el equipo no irá a ninguna parte y todavía planeamos construir nuestros productos para marcar la diferencia en la eficiencia del capital de DeFi. Sabemos y aceptamos lo que está en juego aquí. Haremos esto bien”

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!