En una entrevista exclusiva con crypto.news, el hacker de sombrero blanco seudónimo conocido como Trust ha compartido detalles cruciales sobre un hack reciente que aprovechó una vulnerabilidad en el contrato RouteProcessor2.
Trust pudo ahorrar una cantidad significativa de fondos de los usuarios al realizar un hack preventivo el 10 de abril en los fondos en poder de Sifu, solo para devolver esos fondos después de trasladarlos a un lugar seguro.
Desafortunadamente, los actores maliciosos pudieron imitar el ataque y explotar la vulnerabilidad contra otros titulares.
SushiSwap afectado por un ataque avanzado
Trust explicó que el contrato RouteProcessor2, implementado hace apenas cuatro días, está diseñado para supervisar varios tipos de intercambios de tokens SushiSwap (SUSHI). Los usuarios aprueban previamente el contrato para gastar sus tokens ERC20 y luego llaman a la función swap() para ejecutar el intercambio.
Sin embargo, el contrato interactúa con los grupos UniswapV3 de forma insegura, ya que confía completamente en la dirección del "grupo" proporcionada por el usuario.
La supervisión permite que un grupo incorrecto proporcione información falsa al contrato sobre el origen y el monto de una transferencia, lo que permite a cualquier usuario falsificar un intercambio y obtener acceso al monto total aprobado de otro usuario.
También te puede interesar: Así es como los bots MEV en SushiSwap causaron una pérdida de 3,3 millones de dólares
Trust afirmó que esta vulnerabilidad debería haber sido detectada por cualquier empresa de auditoría razonable, lo que generó preocupaciones sobre la madurez del código base de producción.
El hacker también mencionó la presencia de bots altamente sofisticados que replicaban su transacción de ahorro de fondos para robar activos, enfatizando los amplios recursos y capacidades de estos bots, conocidos como bots de valor extraíble minero (MEV).
Trust decidió realizar el truco preventivo por varias razones.
Primero, había enviado un informe completo de vulnerabilidad una hora y media antes del ataque, pero no recibió respuesta.
En segundo lugar, temía que el equipo de desarrollo no estuviera disponible durante el fin de semana.
En tercer lugar, sabían que el contrato no podía arreglarse y que sólo podía piratearse o revocarse las aprobaciones de los usuarios.
Finalmente, dieron prioridad a salvar una única dirección que contenía la mayoría de los fondos en riesgo: la dirección de Sifu. Trust tampoco anticipó la complejidad de los robots MEV en la situación.
A la luz de estas revelaciones, es crucial que la comunidad criptográfica reevalúe las prácticas de seguridad y priorice las auditorías exhaustivas de los contratos inteligentes para evitar que se exploten dichas vulnerabilidades.
Las acciones de Trust demuestran la importancia de los piratas informáticos de sombrero blanco en el ecosistema, que trabajan para proteger los fondos de los usuarios y mejorar la seguridad general.
También te puede interesar: El protocolo DeFi Euler Finance sufre un hackeo de 197 millones de dólares
