El gran combo - Growth DeFi - REKT



Los días parecen todos el mismo.

Encerrados, enchufados y agotados.

Millones de dólares han desaparecido y nadie ni siquiera pestañea.

Parece que la primera vez que escuchamos de algunos de estos protocolos es cuando son arbed al primer plano por hackers usando los mismos vectores de ataque de siempre.

¿BT Finance? ¿Growth DeFi? Protocolos alternativos poco conocidos son presa fácil para los asesinos seriales que deambulan las calles sin miedo.

Hemos pasado por todo esto antes, ya sabes cómo funciona. Manipula el precio, llama earn, y saca el botín. No hay nada nuevo bajo el sol, ¿por qué cambiar el plan si siempre funciona?

BT Finance hubiera sido detenido por una demanda de copyright si los hackers no hubieran llegado primero, así que estaba condenado a fracasar desde un principio. Los pocos usuarios atraídos por su seductor slogan “Mejor rendimiento de tokens”, tal vez debieron haberlo visto venir...

Si depositas tu dinero en un protocolo que intenta algo nuevo, o que compite con lo que ya hay en el mercado, se puede justificar aceptar un cierto nivel de riesgo. Sin embargo, estos pedazos de código imitador de baja calidad están hechos por y para apostadores simples que no ven a largo plazo.

BT Finance está acabado, qué sorpresa.

$1.5 million. Flash in flash out, como quitarle un dulce a un niño. ¿Se supone que una auditoría de Peckshield frene o motive a un hacker? A estas alturas no está claro.

Growth DeFi tenía algo más que ofrecer.

Aunque su producto no fue nada nuevo, trabajaban duro y acumularon una base de usuarios antes de caer víctimas de un ataque algo más exotico que lo normal.

Al esforzar el contrato staker a aceptar un pair de liquidez que contiene un token falso, el agresor fue capaz de sacar $1.3 millones en liquidez.

El agresor creó un token falso llamado AXZ y suministró liquidez rAXZZ/GRO. A continuación, lo puso staked en el contrato y retiró el otro pair.

@r0bster97 hizo una síntesis del ataque.

Primera transacción:

Cambia 0.001 $ETH por ~0.0148 $GRO

Segunda transacción:

~0.0148 $GRO y 100,000,000,000 $AXXZ liquidez a Uniswap

Tercera transacción:

Retira ~27,516 $GRO y ~1,218 $rAAVE liquidez de Uniswap.

"If-condition ausente en el código del smart contract"

Cuarta transacción:

Cambia ~27,516 $GRO por ~597 $ETH en Uniswap.

Payday.

El equipo de Growth DeFi ha aportado un análisis detallado del ataque en su página de Medium aquí.


Dos ataques, dos técnicas, el mismo resultado final.

$2,7 millones en total, tomados con pocas o ninguna consecuencia.

Sólo un día más en la fase del viejo Oeste de DeFi.

El dinero siempre se mueve hacia los jugadores más listos, si lo hace por medio de engaños o no, es irrelevante.

No dependas de auditorías para hacer tu propia diligencia, revisa tú el código o trabaja con gente que pueda hacerlo.

En un juego en el que los más listos intentan aventajarse entre ellos mismos, lo único que puede hacer el resto es intentar jugar sobre seguro.


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.