En Resumen
- Un hacker explotó un fallo en el código de SafeMoon y provocó la pérdida de unos 8,9 millones de dólares del pool de liquidez de la memecoin.
- El autor del ataque quiere devolver los fondos al equipo de SafeMoon, pero preocupa cómo el exploit se introdujo en el contrato inteligente.
- El fallo se debió a la falta de control de acceso adecuado a una función que debería ser solo para uso privilegiado y podría haber afectado a personas con tokens en el pool de liquidez.
¿Qué ocurre cuando un hacker de criptomonedas es más rápido que otro?
Apenas tres horas después de que SafeMoon actualizara sus contratos inteligentes, un hacker identificó y aprovechó un fallo en el código que provocó la pérdida de unos 8,9 millones de dólares del pool de liquidez de la memecoin.
Sin embargo, en un singular giro de los acontecimientos, el hacker que inicialmente aprovechó la vulnerabilidad fue rápidamente adelantado por otra dirección.
El autor del ataque envió entonces un mensaje al contrato de despliegue de SafeMoon para entablar negociaciones: "Hola tranquilo, hemos ejecutado accidentalmente un ataque contra ti, nos gustaría devolverte los fondos, establece un canal de comunicación seguro, hablemos".
El autor del ataque tiene ahora cerca de 8,66 millones de dólares en otra wallet.
Se habla de "front running" cuando una dirección de criptomonedas identifica una operación o transacción lucrativa pendiente en la blockchain, como esta hazaña, y luego paga una comisión de gas muy elevada para conseguir que la misma operación o transacción se ejecute antes que la original.
El autor del ataque escribió más tarde en una transacción a SafeMoon: "Hablemos de los detalles, por favor, envía un mensaje desde la misma dirección que contenga tu dirección de correo electrónico, y ponte en contacto con nosotros por correo electrónico: [REDACTADO]".
SafeMoon no respondió inmediatamente a la solicitud de comentarios de Decrypt.
La criptomoneda meme SafeMoon y su error "obvio"
Aunque parece que el autor del ataque quiere devolver los fondos al equipo de SafeMoon, lo que realmente preocupa es cómo el exploit consiguió introducirse en el contrato inteligente.
"Un fallo de acuñación pública significa que el hacker puede llamar a la función para quemar la liquidez del fondo y luego intercambiar por el WBNB restante", dijo un portavoz de PeckShield a Decrypt a través de Telegram. WBNB es una versión envuelta del token BNB de Binance, que facilita la interacción con las aplicaciones nativas de la Cadena BNB.
"El hacker básicamente compra SFM [SafeMoon] al principio, a continuación explota el fallo de acuñación pública para aumentar el precio de SFM, y después vende SFM con una ganancia >8,9 millones de dólares", dijo el portavoz.
"Se trata de un fallo trivial, realmente nada del otro mundo. [...] Y no debería estar presente en la actualización en absoluto". El portavoz de PeckShield dijo que "[es] probable que esta actualización no esté auditada".
Un usuario de Twitter afirmó que fue capaz de identificar el exploit tras dos minutos de revisar el contrato inteligente de SafeMoon.
"La causa principal del fallo específico fue la falta de un control de acceso adecuado a una función que debería ser sólo para uso privilegiado". Gonçalo Magalhães, ingeniero de contratos inteligentes de Immunefi, dijo a Decrypt. "Se trata de una vulnerabilidad de seguridad común que se suele tomar en la fase de auditoría de un contrato inteligente".
Esto significa que las personas que tenían sus tokens en un pools de liquidez (WBNB-SFM) corrían el riesgo de perder sus tokens. Un usuario de Twitter afirma que perdió 4 millones de SFM, aproximadamente $800 al cierre de esta edición.
En cuanto al equipo de SafeMoon, su CEO, John Karony, dijo que contrataron a un consultor forense de cadenas que localizó el problema y, al parecer, lo ha resuelto.
"Los usuarios pueden estar seguros de que sus tokens siguen estando a salvo. Gracias a la flexibilidad de nuestra tecnología, confiamos en que podremos resolver este problema", declaró.
Daily Debrief Newsletter
Start every day with the top news stories right now, plus original features, a podcast, videos and more.