El protocolo de finanzas descentralizadas (DeFi) entre cadenas Rubic se vio comprometido, lo que provocó que los fondos almacenados en las direcciones de sus usuarios fueran desviados y transferidos a los piratas informáticos.

El 25 de diciembre, el protocolo Rubic anunció que uno de sus contratos de enrutamiento estaba comprometido y que todos los contratos se suspenderían hasta que se comprendiera completamente la situación. El anuncio decía:

Queridos Rubicanos: Uno de nuestros contratos de enrutamiento podría verse comprometido. Todos los contratos se suspenderán hasta que comprendamos completamente la situación. No utilice https://t.co/rDZSZrTUTe.Revoke https://t.co/F8QMpyd517 lo antes posible a través de https://t.co/hwLI2Cwkt1

– Rubic (@CryptoRubic) 25 de diciembre de 2022

Los creadores del protocolo también aconsejaron a sus usuarios revocar la autorización del contrato a través de la herramienta revoke.cash. Un hilo de Twitter de la empresa de ciberseguridad blockchain PeckShield explica que una vulnerabilidad en el protocolo Rubic provocó una pérdida de fondos por valor de 1,41 millones de dólares directamente de las carteras que autorizaban sus contratos inteligentes.

Rubic @CryptoRubic está explotado (con ~$1,41 millones) https://t.co/ckAfQr9kgm1,100 $ETH ya en Tornado Cash del explotador https://t.co/yPkrC2hFCZ pic.twitter.com/25rLUcMbkf

– PeckShield Inc. (@peckshield) 25 de diciembre de 2022

La dirección del explotador recibió los fondos del intercambio descentralizado (DEX) de Uniswap en transacciones que involucran la moneda estable USD Coin (USDC). PeckShied explicó que el truco fue posible debido a que se agregó USDC por error a los enrutadores compatibles. Además, "la falta de validación en ruterCallNative" también permitió el uso malicioso de contratos.

Un análisis rápido de contratos inteligentes con la ayuda de chatGPT sugiere que la función ruterCallNative contiene numerosas vulnerabilidades potenciales, incluida la entrada invalidada para los parámetros "_params" y "_data". Estos podrían permitir que un atacante envíe entradas maliciosas que podrían dar como resultado un comportamiento incorrecto o no intencionado.

Además, el parámetro "_gateway" pasado a la función no tiene restricciones, lo que potencialmente permite a un atacante crear un contrato y ejecutarlo mediante el contrato RubicProxy.

De hecho, el atacante implementó un contrato inteligente personalizado que se utilizó en el ataque. El código de bytes decodificado muestra las 337 líneas de código que permitieron al atacante realizar el ataque de la manera más eficiente posible.

La dirección del hacker recibió primero una transferencia de 1.161,55 ethereum (ETH) y otra transferencia de 26,88 ETH, ambas del protocolo Uniswap que desvían exclusivamente USDC y lo intercambian por ethereum envuelto (WETH). Todo este WETH se envió posteriormente a un mezclador en cadena y a la entidad sancionada Tornado Cash para anonimizar los fondos obtenidos ilícitamente.

El análisis en cadena muestra que 1,45 millones de dólares en transacciones entrantes enviadas al servicio de anonimización de monedas se originaron en la dirección del hacker, sobre un valor entrante total para el servicio de aproximadamente 2,9 millones de dólares. En otras palabras, aproximadamente la mitad de los activos enviados hoy al mezclador fueron enviados por el explotador.

Las transferencias entrantes de Tornado.Cash se procesaron el 25 de diciembre. La dirección del hacker está a la derecha. | Cortesía de Arkham Intelligence

A pesar de que los fondos del hacker representan una parte tan importante del volumen de transacciones entrantes del servicio, su anonimato sigue siendo sustancial. El depósito puede estar entre los retiros de 2 millones de dólares de Tornado Cash procesados ​​hoy o entre los 174 millones de dólares en activos aún depositados en el contrato inteligente.

Tornado Cash es un protocolo DeFi ahora ilegal que permite a los usuarios realizar transferencias anónimas en la cadena de bloques Ethereum. El protocolo utiliza pruebas de conocimiento cero (pruebas ZK) para ocultar las direcciones de entrada y salida de las transacciones. Es difícil para terceros determinar la identidad de las partes involucradas en la transacción o el propósito específico de la transferencia.

Tornado Cash es un proyecto de código abierto construido sobre la cadena de bloques Ethereum y accesible para cualquier persona con una billetera Ethereum. Los usuarios pueden interactuar con el contrato Tornado Cash utilizando su billetera Ethereum o una interfaz web aún disponible a través del servicio de alojamiento descentralizado InterPlanetary File System (IPFS). Pueden realizar transferencias anónimas de ETH o tokens que cumplan con el estándar ERC-20 enviando sus fondos al contrato Tornado Cash y retirándolos a una nueva dirección.

La noticia sigue a informes recientes de que los piratas informáticos norcoreanos han robado alrededor de 1.200 millones de dólares en criptomonedas y otros activos virtuales en los últimos cinco años. La mayoría de esos ataques ocurrieron solo en 2021.