XToken - REKT
Los X-ploiters viven entre nosotros.
Una subespecie de usuarios crypto ha desarrollado habilidades sobrehumanas que les permiten atravesar huecos en los smart contracts o moldearlos a su gusto con la ayuda de flash loans y arbitraje.
Nadie está totalmente a salvo del equipo anónimo.
Sin embargo, rekt.news está aquí para ayudar, archivando las historias de los X-ploiters infames para que nuestros lectores puedan aprender y futuras generaciones sean protegidas de sus ataques brutales.
Esto no fue ningún atajo - XToken es un protocolo de calidad con fuertes colaboraciones. Hacks como este nos recuerdan que incluso los “blue chips” no son totalmente seguros.
¿Qué salió mal?
Crédito: 0xdeadfce & Frankresearcher
xToken.Market, un protocolo descentralizado de inversión pasiva, fue explotado con el uso de flash loans.
Por encima de $24 millones fueron robados de las pools de liquidez yield-bearing de SNX (xSNXa) y BNT (xBNTa).
At 15:14 UTC X-Token publicó la siguiente advertencia.
La acuñación en todos los contratos ha sido pausada mientras investigamos los reportes.
La comunidad nos alertó del tweet de X-Token en cuestión de minutos.
Un segundo tweet explicó que:
Los contratos de xSNXa y xBNTa han sido explotados. La acuñación se encuentra pausada en todos los contratos mientras seguimos investigando.
Las pools de liquidez han sido vaciadas, no obstante la mayoría de SNX y BNT siguen en contratos de xToken.
El agresor utilizó un flash loan de DyDx por 61,833 ETH (~$267M) y una transacción privada usando Flashbots MEV para facilitar el ataque.
Fondos perdidos:
- 2.4k ETH ($10.3M)
- 781k BNT ($6.2M)
- 407k SNX ($8M)
- 1.9B xBNTa
Todos los tokens aparte del xBNTa ya han sido vendidos por ~5.6k ETH a través de 1inch.
1: El hacker tomó en préstamo 61.8k ETH flash loan en dYdX.
2: Depositó 10k ETH para tomar en préstamo 564k SNX en Aave y canjeó 5.5k ETH por 700k SNX en SushiSwap.
3: Vendió 1.2M SNX por 818 ETH en Uniswap v2, reduciendo significativamente el precio de SNX.
4: Usó solo 0.12 ETH para acuñar 1.2B xSNXa, porque el protocolo compra SNX a través de Kyber, quien a cambio utilizó Uniswap v2 para este canje.
5: Sin embargo, dentro del protocolo, el precio de xSNXa resultó ser normal, lo que hizo posible el canje de 105M xSNX por 414 ETH.
6: Después de eso, el agresor comenzó a realizar canjes en reversa en SushiSwap y Uniswap y devolvió sus préstamos en Aave.
7: Luego también comenzó a vender el xSNXa existente a la pool SNX/ETH/xSNXa (25/25/50) de Balancer.
8: Devolvió el flash loan a dYdX.
9: Emitió xBNTa cuatro veces por 0.03 ETH, lo que ultimadamente le dio 3.9B xBNTa.
10: Canjeó la mitad del xBNTa por 781k BNT.
Otros $24 millones se han ido, y la única cosa inusual son los nombres involucrados.
No estamos acostumbrados a ver a nuestros bebés blue chip envueltos en tanta violencia.
Tal vez esa etiqueta otorga una falsa sensación de seguridad, incluso los protocolos que han sobrevivido más tiempo aún son increíblemente nuevos cuando consideras el largo plazo.
Una nueva entrada en nuestro leaderboard para XToken mientras toman la posición número 9, pero es la cuarta vez para su auditor de seguridad Peckshield, volviéndolos el auditor más rekt en el rekt.news leaderboard.
Pero aún así, quizás un botín de $24 millones vale otro spot en el leaderboard…
¿Vino este ataque desde adentro?
Tal vez nunca lo sepamos, pero siempre nos lo preguntaremos.
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
X-Token - REKT X2
X-token X2 - El Regreso del X-ploiter. ~$4.5 millones robados de su contrato xSNX. Una secuela usualmente lleva a una serie. ¿Los X-ploiters intentarán lograr una trilogía?
Tapioca DAO - Rekt
Otro día, otro robo de clave privada, otro protocolo rekt. Tapioca DAO en Arbitrum sufre una pérdida de aproximadamente $4.4 millones debido al compromiso de una clave privada. Se han recuperado algunos fondos, aunque el alcance total del daño aún está por verse.
Radiant Capital - Rekt II
Radiant Capital sufre un recorte de $53 millones. ¿Pensabas que los multi-sigs eran seguros? Piénsalo otra vez. La "robusta" configuración 3/11 de Radiant se desplomó como un castillo de naipes. Exploited dos veces en 2024, el futuro de Radiant parece tan brillante como un agujero negro.