Cover - REKT

Para la próxima, ocúpate de tu propia mierda.

Una fábrica infinita, pero no la de Willy Wonka - este es un noir clásico de Hollywood acerca de seguros.

Los resultados blancos y negros de las pólizas de seguros se prestan para las tramas de Hollywood.

En Double Indemnity (1944) el seguro es la fuerza motivante para ambos, el bien y el mal.

La película toma su nombre de una cláusula de un seguro de vida que ofrece un pago doble si la muerte del asegurado es accidental.

Esto resulta en un argumento retorcido en el que un vendedor de seguros queda involucrado en un complot homicida por parte de su amante, quien quiere que él asesine a su esposo y luego disfrazarlo como accidente para reclamar el pago de la póliza.

Nunca tomes nada al pie de la letra. Las tramas de DeFi casi nunca son sencillas. El anonimato y la componibilidad son tierra fértil para la conspiración; siempre existen múltiples maneras de obtener beneficios de un mismo incidente, lo que significa que los jugadores más listos no siempre toman el premio más obvio.

$9.4m tomados, $3.2m recuperados y $6.2m perdidos.

COVER (anteriormente conocido como SAFE) cayo ~90% cuando un loophole de tipo “infinite mint” fue descubierto y explotado, causando que el suministro total de tokens subiera 48 cuatrillones por ciento, desde 84,477 a 40,796,131,214,802,600,000.

Seis distintas direcciones acuñaron COVER a través de este loophole antes de que fuera cerrado. Algunos conservaron el dinero, otros no.

De las seis direcciones que usaron el loophole, la previamente desconocida Grap Finance generó la mayor atención, cuando tomó la oportunidad de presentarse como un “white hat” al vender el COVER acuñado por ETH y devolverlo con un mensaje provocador.

El código es ley, y los loopholes permanecen - podemos confiar en que los agresores se aprovecharán de ellos, pero sabemos que las cosas no suelen ser tan sencillas como parecen.

¿Quién tenía cobertura en su $COVER? Fuimos de encubierto para investigar.

Rekt OPSEC

El ataque original tuvo cuatro pasos y un agresor, pero la historia se volvió más complicada una vez que se hizo público el loophole, y otras wallets replicaron el proceso.

Las siguientes cronologías están tomadas del Post-Mortem oficial de Cover, para un análisis más detallado, revisa el paso por paso de @vasa_dev.

Cronología de Exploiter 1

Dic-28–2020 04:09:27 AM +UTC

• Una nueva Balancer pool fue añadida al contrato Blacksmith desde el multisig del equipo vía una transacción para las nuevas expiraciones de cobertura.

Dic-28–2020 08:08:12 AM +UTC

• Un agresor ejecuta el primer depósito al contrato, depositando 1,326,880 BPT tokens

Dic-28–2020 at 08:11:16 AM +UTC

• El mismo agresor luego llamó withdraw(), explotando el contrato por ~703.64 $COVER y retirando 1,326,878.99 BPT

Dic-28–2020 08:47:15 AM +UTC

• La primera venta de los tokens $COVER explotados se encuentra aquí. Durante este tiempo había varias cuentas aprovechando el exploit, y vendiendo su $COVER al mercado.

Dic-28–2020 09:18:28 AM +UTC

• El agresor sigue acuñando mientras sigue presente el vector del ataque.

En total, Exploiter 1 robó alrededor de $4.4 millones en fondos de los usuarios y los transfirió a esta dirección.

Parece que al principio el loophole fue descubierto accidentalmente, porque Exploiter 1 tenía mala OPSEC, una wallet normal cargada por un exchange con KYC -Know Your Costumer-, con un récord de trading de 3 años. Algunos afirman conocer la identidad de este exploiter, y le sugieren que devuelva los fondos.

En un clásico giro inesperado de DeFi, el agresor original atrajo poca atención comparada con Grap Finance, quien tomó la oportunidad para desempeñar el papel del “White Hat”.

Cronología de Grap Finance

Dic-28–2020 11:54:47 AM +UTC

• Grap Finance: Deployer (cuenta externa) depositó 15,255.552810089260015362 BPT (pool DAI/Basis) en el contrato farming de Blacksmith.

Dic-28–2020 11:58:04 AM +UTC

• Grap Finance: Deployer retira sus 15,255.552810089260015361 BPT (pool DAI/Basis), dejando solo 1 wei en su saldo del contrato farming de Blacksmith.

Dic-28–2020 11:58:56 AM +UTC

• Otro usuario retira la mayoría de su saldo completo (1,007.599009946121991627 BPT) del Blacksmith. Ahora Grap Finance por sí solo tiene toda la liquidez de la pool DAI/Basis en el contrato de shield mining de Blacksmith, exactamente 1 wei.

Dic-28–2020 12:00:21 PM +UTC

• Grap Finance: Deployer volvió a depositar 15,255.552810089260015361 BPT (pool DAI/Basis) en el contrato farming de Blacksmith.

Dic-28–2020 12:02:04 PM +UTC

• Grap Finance: Deployer reclamó las recompensas, y debido a la combinación de solo 1 wei con el problema de storage/memoria, esto resultó en la acuñación de 40,796,131,214,802,500,000.212114436030863813 $COVER.

Dic-28–2020 12:29:03 PM +UTC

• Grap Finance: Deployer empieza a vender todos los tokens posibles via 1inch.exchange en múltiples transacciones.

Dic-28–2020 12:59:27 PM +UTC

• Grap Finance: Deployer quema los tokens acuñados.

Dic-28–2020 at 01:41:01 PM +UTC

• Grap Finance: Deployer manda los 4351 (1 + 4350) ETH que ha extraído por vender $COVER a la cuenta del deployer, lo que proporciona un 34% del total del daño del exploit ($9.4 millones).

Cobertura de Cover

A Cover Protocol le tomó seis horas reconocer públicamente el ataque.

El equipo sigue investigando el incidente actual. El exploit ya no es posible.

Por favor, no compren tokens $COVER, y remuevan su liquidez de la pool COVER/ETH en sushiswap.

Las balancer pools de CLAIM/NOCLAIM no están afectadas.

Ocho horas después del ataque, Cover Protocol anunció su plan de recompensar a los usuarios afectados.

Hola a todos, estamos explorando proveer un nuevo token $COVER basado en un snapshot de los balances existentes antes de que fuese realizado el exploit de acuñación. Los 4350 ETH que han sido devueltos por el agresor también serán manejados por un snapshot de los holders del token LP. Seguimos investigando. NO compres COVER.

“Lo que está muerto no puede morir” parece más cierto que nunca en DeFi. Una cuarta iteración del token de Cover Protocol será emitido para recompensar a los usuarios afectados.

SAFE - SAFE2 - COVER - $RECOVER?

La persistencia es admirable hasta cierto punto, pero ¿cuando suficiente, es suficiente?

Algunos lectores recordarán la historia completa de Cover Protocol, quienes se hicieron un rebranding desde SAFE después de que ambos @azeemfi y @chefcoverage hicieron malas decisiones. Luego lanzaron SAFE2, que fue migrado al COVER que conocemos hoy en día.

¿La comunidad les dará una CUARTA oportunidad?

Grap Finance es un fork de YAM - quien, habiendo fallado en producir algo notable durante el verano DeFi, aprovechó la oportunidad de atraer atención al presentarse como un white hat, algo que le hizo ganar miles de seguidores en un solo día.

Lo que hará con estos nuevos seguidores queda por ver.

La actividad inusual de Grap Finance lo pone dentro del top 5 en cambios de saldo de COVER en los últimos 7 días.

Dicen que no existe la mala publicidad, y esto parece ser confirmado por la siguiente gráfica - las direcciones únicas de COVER incrementaron el día del ataque por 1,778, ya que traders oportunistas intentaron alcanzar un cuchillo en caída.

Aquí vemos a Binance en verde, con un incremento enorme en depósitos de COVER mientras la comunidad intentaba dejar el barco antes de que el trading del token fuese pausado eventualmente.

El comportamiento responsable tal vez no ofrece grandes premios, pero los sueldos del pecado siempre se pagan completos.

Algunos dicen que esto fue un inside job que salió mal.

Quizá los agresores fueron doxxed, no podían guardar los fondos, así que los devolvieron y tomaron la promoción como ganancia en su lugar.

No afirmamos que estos rumores tienen base en la verdad, pero es fácil ver cómo tales ideas surgen cuando los eventos del día llevan a anuncios como éste.

La pura coincidencia está fuera de discusión, esto es juego sucio o desesperación. MXC debe de estar pasando por tiempos difíciles si están listando tokens basados en rumores.

Crypto Twitter ha demostrado que su apetito por el riesgo sigue fuerte al hacer pump al precio del token de sus “rescatadores” por varios miles de %, aumentando su volumen de trading de 24hr de $236 a $5,458,084, al momento de escribir este artículo.

Emiliano Bonassi aportó la siguiente cita:

Poniendo a un lado el asunto técnico, este evento mostró de nuevo como este ecosistema es cohesivo y solidario.

Somos antifrágiles.

Estoy bastante seguro de que después de este evento no solo emergerá un nuevo Cover sino algo más importante, un colectivo que garantice la seguridad y que provoque una reacción en el ecosistema - tal vez The WhiteHack Group.

La sangre es un gasto caro. El mercado de seguros DeFi está en un estado lamentable.

Primero NXM y ahora Cover. No importa si el protocolo no es afectado, si tenemos que escribir un artículo sobre ti, la confianza del usuario en tu proyecto ya se ha ido.

El seguro DeFi tiene que ser contra todo riesgo. Los actos de dios no pasan aquí.

Los protocolos inseguros pagan primas altas, mientras los demás trabajan en acumular su bonificación en ausencia de siniestros.

COVER se encogió 40x en 4 horas mientras $GRAP subió 40x.

“Sin ganancias” dice el equipo Grap desde atrás de su pantalla, un cuento increíble que solo dice la mitad de la verdad.

Los black hats pintados de white no duran bajo un diluvio de alegaciones.

La investigación continúa...

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.