Super Sushi Samurai - REKT
Mientras estabas jugando con tu comida, alguien te robó el almuerzo.
El juego basado en L2, Super Sushi Samurai, sufrió un drenaje de $4.8 millones en la LP debido a una explotación de errores en el contrato poco después de su lanzamiento, y el precio cayó un 99.9%.
Spreek dio la alarma alrededor de las 14:00 UTC y el equipo de Super Sushi Samurai respondió en cuestión de minutos, diciendo que estaban pausando las transferencias de tokens e investigando.
Media hora después de ser rebanados y picados, el equipo de Super Sushi Samurai comentó más sobre la explotación:
Hemos sido explotados, está relacionado con el mint. Seguimos investigando el código. Se mintearon tokens y se vendieron en la LP.
Gamma Strategies fue golpeado con una explotación de mint similar a principios de este año, resultando en una pérdida similar en Arbitrum.
El código de Super Sushi Samurai fue auditado, pero no logró identificar la explotación de mint infinito.
¿Algunos de estos protocolos y firmas de auditoría alguna vez lo harán bien o seguirán dejando caer la pelota?
Créditos: Spreek, Super Sushi Samurai, Coffeexcoin, Sudo
La LP de Super Sushi Samurai fue drenada debido a un error crítico en el contrato de token que permitía a los usuarios duplicar su saldo de tokens simplemente transfiriendo todo el saldo a su propia dirección.
El problema se originó por un descuido de codificación en la función de transferencia del contrato. Cuando se transfieren tokens, el contrato resta la cantidad del saldo del remitente antes de añadirla al saldo del destinatario. Sin embargo, si el remitente y el destinatario son la misma dirección, el contrato no tiene en cuenta la cantidad deducida, haciendo que el saldo se duplique en lugar de permanecer sin cambios.
Esta laguna explotable permitió al atacante duplicar repetidamente su saldo y finalmente vender las tenencias artificialmente infladas, lo que resultó en una pérdida de $4.8 millones para el proyecto.
Solo le tomó al atacante alrededor de una hora convertir $35 en $4.6 millones. Bastante beneficio, ¿no?
Contrato del atacante: 0xDed85d83Bf06069c0bD5AA792234b5015D5410A9
Dirección del atacante: 0x6a89a8c67b5066d59bf4d81d59f70c3976facd0a
Transacción de ataque 1: 0x80012bf784b83baaf28f5549a9f233cae5f70be7afcd8f594dc757d431ed93c4
Transacción de ataque 2: 0x62e6b906bb5aafdc57c72cd13e20a18d2de3a4a757cd2f24fde6003ce5c9f2c6
Transacción de ataque 3: 0xac3400e3d536ac23c10fdd2c06e1faf8d5de5b797df8433e9b5ab74b102a4e35
Sin embargo, los fondos podrían no estar totalmente perdidos. La persona que los drenó envió un mensaje diciendo que fue un rescate hacker de sombrero blanco. Proporcionó detalles para contactarlos y dijo que los usuarios deberían ser reembolsados. El proyecto dijo que se había puesto en contacto con el explotador.
Verichains fue responsable de la auditoría y no detectó la explotación. Permitieron que el contrato se pusiera en marcha con una explotación de mint infinito.
Otra auditoría, otra explotación. ¿No es hora de empezar a auditar a las firmas de auditoría?
Tras la explotación de Super Sushi Samurai, es crucial que la comunidad crypto reflexione sobre la importancia de auditorías de seguridad exhaustivas y el papel de las firmas de auditoría en garantizar la seguridad de los fondos de los usuarios.
El incidente plantea preocupaciones sobre la efectividad de las prácticas actuales de auditoría, dado que el contrato fue auditado por Verichains pero aún así se puso en marcha con una explotación de mint infinito.
Este evento es un recordatorio tanto para proyectos como usuarios de mantener la vigilancia y asegurar que se cumplan los más altos estándares de seguridad.
Los esfuerzos colaborativos deben centrarse en mejorar los estándares de desarrollo de contratos inteligentes y establecer mejores prácticas en toda la industria.
Puede ser el momento de que la industria considere requisitos de auditoría más estrictos y establezca mejores mecanismos para identificar y abordar las vulnerabilidades en los contratos inteligentes.
Al trabajar juntos para desarrollar medidas de seguridad más sólidas y promover la transparencia en el proceso de auditoría, la comunidad crypto puede fomentar un entorno en el que los usuarios se sientan seguros con la seguridad de sus inversiones.
Además, el incidente de Super Sushi Samurai debería servir como catalizador para reevaluar las relaciones entre proyectos y firmas de auditoría.
Si bien el resultado del incidente de Super Sushi Samurai sigue siendo incierto, con el explotador afirmando ser un hacker de sombrero blanco y ofreciéndose a reembolsar a los usuarios afectados, ofrece una oportunidad para reevaluar y mejorar el panorama general de seguridad.
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Eigenoops
El error de $6 millones de Eigenlayer. En el juego de esta semana de "¿Dónde se fueron los tokens?", ¿estamos viendo una clase magistral de ingeniería social o simplemente alguien metió la mano en el tarro de galletas EIGEN?
Peligro Digital
A medida que las riquezas digitales se disparan, también lo hacen los depredadores oportunistas, emergiendo desde los rincones oscuros del ciberespacio hacia nuestra realidad. Bienvenido al nuevo salvaje oeste, donde tu frase semilla podría ser la combinación que te lleve a la tumba. ¿Está tu cripto haciéndote un objetivo?
Bedrock - Rekt
Bedrock acaba de aprender una lección sobre por qué siempre debes revisar tus cálculos dos veces. En un giro que haría que incluso un físico cuántico se rasque la cabeza, su vault uniBTC decidió jugar rápido y suelto con las tasas de cambio, transformando depósitos en Ethereum en una mina de oro de Bitcoin.