Value DeFi - REKT 3



Dos veces en una sola semana.

Value DeFi se ha descarrilado.

Hace seis meses perdieron $7M. Hace tres días perdieron $10M.

Ahora han perdido otros $11M.

Brutal, salvaje, rekt.

La “co-fundadora” era una actriz pagada, el código fue copiado y usado incorrectamente, y como resultado, Value DeFi ha sido totalmente destruido.

¿Es esta la tercera y última vez o los apes volverán a perdonar y a olvidar?

¿Qué fue tan mal con Value DeFi?

Aproximadamente $11 millones fueron robados de las pools de vSwap AMM.

El incidente fue debido al uso incorrecto de una función compleja de exponenciación power() detrás del cálculo e implementación del invariable constant product ponderado.

Cualquier pool que no tuviera su liquidez dividida 50/50 entre sus activos fue explotada.

Ya que Uniswap únicamente soporta pools con 50/50 de ratio de activos, Value DeFi usó la fórmula Bancor para sus pools no-estándares.

Transacción de referencia:

0x2fd0aaf0bad8e81d28d0ee6e4f4b5cbba693d7d0d063d1662653cdd2a135c2de

1. Primero que todo, el agresor envía una cantidad pequeña de un segundo token para vincular direcciones.

2. Luego hace un canje en el que intenta retirar una pequeña cantidad del primer token y una cantidad grande del segundo.

3. Debido al uso incorrecto de la fórmula Bancor, los pair contracts consideran el canje un éxito (raíz del exploit).

Fondos robados:

  • 15k BNB
  • 2.7k FARM
  • 1.7k BASv2
  • 8.5M BDO
  • 68.3k BUSD
  • 41.4k MDG
  • 945k VBOND
  • 1.2M BAC
  • 11k FIRO

Crédito: frankresearcher

Nótese que la rutina power() toma cuatro argumentos (baseN, baseD, expN, y expD) y se usa para calcular una aproximación entera de (baseN/baseD)^(expN/expD)*(2^precisión) en donde “precisión” se usa para el resultado calculado. Sin embargo, hay una advertencia en cómo se debe de usar esta función power(). Hace una asunción explícita de que baseN debe ser no menos que baseD, i.e. baseN >= baseD. En este ataque, la función swap() de la pool es llamada con un input manipulado que viola intencionalmente dicha asunción. Como resultado, la implementación del constant product ponderado queda aprobada mientras los fondos de la pool son vaciados.

Crédito: peckshield

A pesar de haber alcanzado su tercer lugar en nuestro leaderboard, el token nativo de Value DeFi se ha recuperado en cierto modo desde su último exploit. Aún así, Nansen nos muestra que el volúmen DEX ha estado disminuyendo constantemente.

¿Salvará otro rebrand al protocolo más hackeado de perder todos sus usuarios, o esto es el final para Value DeFi?

El equipo Value DeFi estaba tranquilizando a sus usuarios acerca de la seguridad de su plataforma sólo unas horas antes del último exploit, tuiteando sobre aumentadas medidas de seguridad que claramente tuvieron cero impacto.

Después de esto, es difícil ver cómo alguien puede confiar en los desarrolladores anónimos, que admitieron haber usado una actriz pagada de Fiverr para interpretar el rol de su fundadora, y cuando fueron confrontados por un usuario, respondieron algo similar a;

La chica a la que etiquetamos como nuestra co-fundadora en ese video es realmente una actriz pagada, por casualidad uno de nuestros devs usaba el mismo alias online, ¡así que decidimos rastrear a una actriz del mismo nombre en Fiverr para aparecer en nuestro video!

El ape tax es alto para los usuarios de Value DeFi, el protocolo DeFi menos seguro. ¿Quién puede tener simpatía por los usuarios de los proyectos con una calidad tan descaradamente baja?

Estamos muy agradecidos por todos los nuevos lectores que Value Defi nos ha traído en los últimos meses, pero ojalá que esta sea la última vez.

Aún que ridiculizamos las repetitivas fallas de los fundadores, no son sus fondos los que han sido robados. Si planean continuar sus operaciones, tendrán que esforzarse mucho más.

En lugar de enfocarse en RRPP falsas, enfóquense en la seguridad de los usuarios reales, no en acumular auditorías de seguridad sin sentido.

O tal vez es momento de rendirse y dejar de poner en riesgo los fondos de los usuarios.

¿Puede Value DeFi cerrar sus operaciones de manera segura o pronto veremos una última estafa de salida?


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.