Bedrock - Rekt
Bedrock acaba de aprender una lección sobre por qué siempre debes revisar tus cálculos dos veces.
En un giro que haría que incluso un físico cuántico se rasque la cabeza, su vault uniBTC decidió jugar rápido y suelto con las tasas de cambio, transformando depósitos en Ethereum en una mina de oro de Bitcoin.
Esta alquimia digital logró desvanecer $2 millones en el aire el 25 de septiembre, antes de que alguien pudiera decir "auditoría de contrato inteligente."
La vulnerabilidad, esparcida a lo largo de 8 redes blockchain como una cepa virulenta de cripto-viruela, permitió a los usuarios mintear uniBTC más rápido que una impresora de dinero descontrolada.
Tras otro desastre DeFi, nos quedamos preguntándonos: cuando "el código es ley" falla, ¿se aplica el "el que lo encuentra, se lo queda"?
En el frenético juego de aplastar problemas en DeFi, Dedaub acaba de dar un golpe crítico.
Estos detectives del código descubrieron una bomba de tiempo en los contratos del vault uniBTC de Bedrock: una vulnerabilidad tan atractiva que prácticamente tenía signos de dólar en los ojos.
Estamos hablando de un tesoro de $75 millones repartido en al menos 8 cadenas diferentes, solo esperando a que alguien encontrara la combinación correcta.
Dedaub, canalizando su Paul Revere interno, no perdió tiempo.
Lanzaron alertas a Bedrock en Twitter y marcaron en modo urgente al 911 de SEALs, mientras el mundo cripto dormía, ajeno al caos inminente.
Pero en el mundo DeFi, el tiempo no espera a ningún desarrollador.
Mientras el equipo de Bedrock probablemente soñaba con lambos e islas tropicales (o simplemente, ya sabes, durmiendo), la vulnerabilidad pasó de ser una amenaza potencial a un desastre real.
Apenas dos horas después de la señal de alarma digital de Dedaub, el exploit se concretó.
Una multitud de oportunistas se dio cuenta de que el contrato inteligente de Bedrock prácticamente rogaba ser explotado.
¿El daño? Unos $2 millones desaparecieron más rápido de lo que puedes decir "finanzas descentralizadas".
Pero aquí está el truco: con la capitalización de mercado de uniBTC en $75 millones solo en Ethereum, esto podría haber sido solo la punta de un iceberg muy costoso.
Mientras los detectives de blockchain reconstruían la escena del crimen digital, se encontraron con una vulnerabilidad tan básica que haría sonrojar a un estudiante de primer año de programación.
Según el post mortem, la vulnerabilidad en los contratos inteligentes de Bedrock era más compleja que un simple error de cálculo.
En su esencia, el problema surgió de la incapacidad de manejar adecuadamente los tokens nativos en cadenas no nativas de BTC.
El núcleo del problema residía en el contrato SigmaSupplier, que no registraba NATIVE_BTC.
Este descuido provocó que el suministro total siempre se registrara como cero, neutralizando efectivamente el mecanismo de restricción de capital diseñado para prevenir minting no autorizado.
Con esta protección desactivada sin saberlo, las verificaciones del contrato de Vault quedaron inútiles.
¿El resultado? Una puerta completamente abierta para que los usuarios pudieran mintear tokens uniBTC usando tokens nativos en cadenas no nativas de BTC, un proceso que debería haber sido imposible por diseño.
No fue solo un error matemático, sino también un mal manejo fundamental de los tipos de tokens y las interacciones entre cadenas.
Este mal manejo abrió las compuertas para una serie de exploits a lo largo de múltiples cadenas.
El contrato vulnerable del vault desplegado el 25 de septiembre permitió un intercambio ETH a uniBTC a una tasa de 1:1.
En un ejemplo descarado, un atacante minteó 30.8 uniBTC usando 30.8 ETH y vendió rápidamente 28.8 uniBTC por 27.8 WBTC en una sola transacción.
Dirección del explotador:
0x2bFB373017349820dda2Da8230E6b66739BE9F96
Transacción del ataque:
0x725f0d65340c859e0f64e72ca8260220c526c3e0ccde530004160809f6177940
Y este fue solo uno de muchos ataques que, en conjunto, drenaron $2 millones del protocolo.
Para empeorar las cosas, la respuesta de Bedrock fue más lenta que un perezoso bajo sedantes.
Les tomó más de 2 horas reconocer públicamente el exploit después de que Dedaub sonara la alarma, y casi 4.5 horas para finalmente pausar los contratos inteligentes vulnerables.
En el vertiginoso mundo de DeFi, eso es una eternidad: tiempo más que suficiente para que los caballos digitales escaparan, el establo se incendiara y las cenizas se enfriaran.
Y, en un giro que haría a cualquier experto en seguridad golpearse la frente, esta actualización no pasó por una auditoría.
En el mundo DeFi, saltarse una auditoría es como lanzarse en paracaídas y decidir que los paracaídas son opcionales.
Es una estrategia arriesgada, Cotton. Vamos a ver si les funciona.
La reacción fue rápida. A medida que la noticia se esparcía más rápido que un meme viral, la comunidad DeFi entró en acción.
Pendle, que manejaba una parte significativa de uniBTC, frenó su plataforma más rápido de lo que puedes decir "no mis bolsas."
Mientras tanto, el equipo de Bedrock, finalmente reaccionando, se apresuró a pausar los contratos vulnerables.
Pero en el tiempo cripto, donde las fortunas se hacen y se pierden en un abrir y cerrar de ojos, su respuesta se sintió como ver secar la pintura.
El daño estaba hecho. A lo largo de ocho cadenas —Ethereum, BNBChain, Arbitrum, Optimism, Mantle, Mode, BOB y ZetaChain— la vulnerabilidad dejó su huella.
Un total de 125 explotadores tuvieron su gran día.
Al final, Bedrock se quedó con un agujero de $1.8 millones en su liquidez y un montón de explicaciones por dar.
Como dicen en el mundo cripto: otro día, otro exploit.
Pero esta vez, el precio de saltarse una auditoría vino con una factura muy cara.
Si Bedrock puede desmoronarse tan fácilmente, ¿qué clase de cimientos estamos construyendo realmente?
Y en la prisa por mintear lo próximo grande, ¿estamos creando un lecho de roca o simplemente enterrando minas terrestres?
![](https://raw.githubusercontent
.com/RektHQ/Assets/main/images/2021/03/rekt-linebreak.png)
Tras el momento vergonzoso de los $2 millones de Bedrock, nos quedamos sacudiendo la cabeza en incredulidad.
¿Cómo puede una actualización no auditada pasar por alto en un protocolo que maneja millones?
¿Podrán reconstruir la confianza después de este error de seguridad de proporciones prehistóricas?
En el veloz mundo de DeFi, incluso los cimientos más sólidos pueden temblar.
El tropiezo de Bedrock es un recordatorio brutal: en la carrera por innovar, podríamos estar construyendo castillos sobre arenas movedizas.
Mientras observamos cómo se desarrolla esta saga, no podemos evitar preguntarnos: en la historia del mundo cripto, ¿será Bedrock recordado como una piedra angular o solo una piedra más en el camino hacia “hacerlo mejor”?
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Eigenoops
El error de $6 millones de Eigenlayer. En el juego de esta semana de "¿Dónde se fueron los tokens?", ¿estamos viendo una clase magistral de ingeniería social o simplemente alguien metió la mano en el tarro de galletas EIGEN?
Peligro Digital
A medida que las riquezas digitales se disparan, también lo hacen los depredadores oportunistas, emergiendo desde los rincones oscuros del ciberespacio hacia nuestra realidad. Bienvenido al nuevo salvaje oeste, donde tu frase semilla podría ser la combinación que te lleve a la tumba. ¿Está tu cripto haciéndote un objetivo?
Onyx Protocol - Rekt II
Otro fork de Compound v2 que no logra encontrar la suerte, Onyx Protocol, ha sido explotado nuevamente. Esta vez, las pérdidas ascienden a $3.8 millones, robados por la misma vulnerabilidad que los golpeó el año pasado.