Rari Capital - REKT
Sangre joven y nuevos ricos.
Después de un rápido descanso para comer, fue el turno de Rari Capital de ser rekt.
El joven agregador de rendimiento ha caído víctima de un agresor serial, ya que la misma wallet que atacó a Value DeFi solo horas antes volteó a mirar a la pool ETH de Rari Capital, sacando $15 millones en ETH.
Rari Capital ha llamado la atención debido a la juventud de sus desarrolladores, causando que la comunidad discuta acerca de la relevancia de la edad cuando en total la industria DeFi tiene solamente 2-3 años.
Aunque algunos dirán que “se lo buscaron”, no nos da ningún placer saber que la gente ha perdido su dinero.
No hay ningún desarrollador con 10 años de experiencia en diseño de sistemas DeFi, esto es una meritocracia que depende más de las habilidades y la madurez de una persona que del tamaño de su CV.
Cada ataque se nos presenta con una valiosa lección, y debemos estudiar las técnicas en aras de construir un futuro más seguro.
Estamos viendo las acciones de un asesino cross-chain, que utilizó el dinero sucio que obtuvo de Value DeFi para realizar un ataque a Rari Capital.
5,346 BNB ($3.8M) fueron robados y cambiados a 1k ETH.
Las acciones del agresor en BSC fueron como sigue:
1: Crear un token falso y ponerlo en una pool con BNB en PancakeSwap para poder usar Alpaca Finance.
2: Interactuar con Alpaca Finance, en donde al llamar la función approve() para un token falso, se llama a un payload, lo que permite a un agresor usar vSafe a través de Covex farm para obtener vSafeWBNB.
3: Convertir vSafeWBNB a WBNB.
4: Transferir WBNB a Ethereum a traves de Anyswap.
Repetir 2x
El ataque a Rari fue como sigue:
1: Crear un token falso y ponerlo en una pool en SushiSwap.
2: Interactuar con Alpha Homora, donde también se llama a un payload dejando que el agresor pueda obtener ibETH en el pool contract ETH de Rari.
3: Convertir ibETH a ETH en la pool ETH de Rari.
Como resultado, 2.9k ETH ($11.1M) fueron robados, y otros 1.7k ETH estuvieron en riesgo antes de las acciones del equipo Rari.
La ganancia total de los dos ataques fue de $15M en ETH.
Crédito: frankresearcher
El token de gobernanza de Rari Capital $RGT vio caer su precio en picada inmediatamente después del ataque.
El agresor decidió expresar su opinión en los protocolos envueltos, pero parece que tuvo sus dudas, ya que intentó cancelar la transacción. Pero, fijó el gas demasiado bajo y la cancelación no se procesó por 20 minutos, dando a todos el tiempo para ver su mensaje.
Esta técnica de ataque fue similar a la del Evil Pickle Jar, una que parece propicia a volverse aún más común en el futuro.
Aunque varios protocolos fueron usados, el mismo mecanismo de exploit fue aplicado.
Alpaca/Alpha, vSafe/Rari, PancakeSwap/SushiSwap - la interacción entre ellos fue construida de tal manera que el exploit fue fácilmente repetido en otra chain.
La interoperabilidad entre los protocolos DeFi está incrementando, y las líneas difusas permiten rutas de escape cada vez más sencillas.
En los locos años veinte, los implacables son premiados, y cualquier sanción parece poco probable.
Con tantos otros crímenes superficiales en crypto, ¿quién va a intentar procesar a alguien por explotar contratos cuando tantos otros permanecen anónimos?
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Tornado Cash Governance - REKT
Los Cypherpunks se esfuerzan por volverse ingobernables, pero no así. La gobernanza de Tornado Cash ha sido tomado como rehén a través de una propuesta caballo de Troya. Pero ahora el hacker propone revertir los efectos de su exploit. Con suerte, todo esto resultará ser nada más que una tormenta en un vaso de agua.
Swaprum - REKT
Swaprum, un DEX implementado en Arbitrum, hizo un rugpull con $3M el jueves. Certik, el auditor del proyecto, ha actualizado la puntuación de seguridad de Swaprum a "Exit Scam". ¿Demasiado poco y demasiado tarde?
Level Finance - REKT
Level Finance fue rekt. $1.1M en recompensas por referidos fueron robados de la plataforma de perps basada en BSC. El ataque se intentó inicialmente hace más de una semana, pero parece que nadie se dio cuenta. ¿Podría una advertencia haber salvado a Level?