El exchange descentralizado Bancor ha revelado a sus usuarios una vulnerabilidad dentro de su plataforma. El exchange se ha realizado un «white hack» para tratar de poner a salvo los fondos de los clientes.
El pasado día 18, el exchange descentralizado Bancor notó un error muy severo de vulnerabilidad en cuanto a la seguridad de los fondos de sus clientes. Este fallo se encontró a partir de la actualización del contrato inteligente BancorNetwork v0.6 implementado el 16 de Junio.
A través de un Tuit, el propio Bancor advirtió a sus usuarios de lo sucedido con la última actualización. En el tuit se pedía que todo aquel que hubiese realizado operaciones ne Bancor en las últimas 48 horas y que hubiese dado permisos al contrato en cuestión, revocase estos permisos a través de un enlace facilitado.
Según la empresa de capital de riesgo, Hex Capital atribuyó dicho fallo a una llamada realizada sin autorización a la función «safeTransferFrom». En los contratos ERC-20 esta función se utiliza para que los propios contratos puedan retirar fondos sin la necesidad de la interacción del propietario de los mismos.
En pro de la seguridad de los fondos, el equipo de Bancor realizó un «white hack». Esto significa que explotando esta misma vulnerabilidad drenaron todos los fondos posibles y los derivaron a una cartera dirección segura. Se supone que esto se realizó antes de anunciar dicha vulnerabilidad.
Con este fallo, los clientes se han cuestionado la seguridad de Bancor y si siquiera se ha realizado una auditoria antes de implementar la ultima versión del contrato inteligente. Bancor respondió que se estaba llevando a cabo una auditoria de seguridad de la versión.
Según el investigador anónimo Frank Topbottom, una auditoria de seguridad fue realizada por el equipo de Kanso Labs.
Los front-runners se llevaron parte de los fondos sin intención
Los front-runners son operador de mesa de capitales que realizan la practica ilegal de tomar posiciones propias, a sabiendas de que un cliente va a tomar esa misma posición. Un ejemplo: El operador adquiere 200.000 tokens de una moneda a sabiendas que su cliente quiere adquirir 1.000.000. Con la compra es probable que el precio del token suba y de este modo el cliente adquirirá estos 200.000 tokens del comprador junto con otros 800.000. De este modo el operador obtendrá beneficio rápido por la venta de estos tokens a sabiendas de que el cliente querría realizar dicha operación.
Con el termino explicado, el equipo de 1inch.exchange ha declarado que al menos 2 front-runners conocidos comenzaron a copiar las operaciones de Bancor. Estos usuarios utilizan un sistema de bots creados para aprovechar situaciones delicadas de arbitraje, que en este caso no se han distinguido del hackeo.
Por otro lado, todos los front-runners descubiertos han informado a cerca del contrato, lo que quiere decir que parecen estar dispuestos a devolver el dinero. Se calcula que unos 135.229 tokens de ETH fueron sustraídos por parte de los front-runners.
Seguir leyendo acerca como Cervecera Lion recibe otro ciberataque: hackers de REvil exigen $800.000 en Monero, puede que te parezca interesante.
