Bent Finance - REKT

Otro proyecto torcido.

Esta vez, al parecer, debido a una falla en su estructura interna.

Bent Finance es una “plataforma de staking y farming para mejorar tus rendimientos en curve”.

Durante las últimas semanas, una dirección ha estado rompiendo las reglas del protocolo, extrayendo ~$1.75M antes de que las cosas se endrezaran.

Cuando salió la noticia, y el precio de $BENT colapsó, el equipo lanzó un tibia advertencia informando a sus usuarios que las recompensas habían sido suspendidas, pero los fondos no habían sido perdidos.

Sin embargo, después de que PeckShield afirmó que el exploit venía desde adentro…

…el equipo fue forzado a realizar una actualización, lo que puede leerse como una acusación de un inside job:

Crédito: BlockSecTeam

Más que una manipulación técnica de smart contracts, este caso es bastante simple.

El contrato cvxCRV de Bent Finance fue actualizado el 30 de noviembre, manualmente fijando el saldo de la dirección del agresor.

Esto asignó cantidades enormes de recompensas al exploiter, que excedieron por mucho el TVL de Bent Finance en sí.

A pesar de que el exploit estuvo activo durante casi tres semanas, el problema solo fue descubierto con la entrada de Bent Finance a DeBank, cuando el perfil de la wallet del exploiter mostró los billones de dólares de recompensas pendientes en la plataforma.

Al ver las transacciones de tokens de la wallet principal, vemos algunos depósitos pequeños juntos con unas retiradas muy grandes, una el 12 de diciembre (de 263k cvxcrv-f), y otra hoy a las 02:45 AM +UTC (de 250k cvxcrv-f).

Los tokens fueron luego enviados a la dirección secundaria del exploiter donde fueron devueltos en CRV, canjeados por ETH y enviados a Tornado Cash.

En total, 440 ETH (~$1.75M) han sido lavados vía Tornado cash entre el 12/12 y hoy.

El rol que tuvo el perfil de Bent Finance en DeBank, en el caso de hoy, y la reciente recaudación de $75M de Nansen, muestran el valor que estos servicios traen a una industria cada vez más compleja.

Aunque los datos on-chain proveen toda la información necesaria a aquellos con el conocimiento (y la motivación) para investigar, estas herramientas aumentan enormemente la posibilidad de detectar las irregularidades en los proyectos de bajo perfil.

Pero en el caso de Bent Finance, dada la raíz del exploit y la respuesta del equipo, parece probable que fuera un inside job:

¿Rug pull o un miembro corrupto del equipo?

Unos hacks mucho más grandes han dominado los titulares últimamente, e incidentes como este pronto serán olvidados.

Tal vez eso es justo lo que el equipo de Bent Finance espera…

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.