Error en Protocolo de Staking Permite Intercambio 1:1 de Bitcoin Por Ethereum
Una vulnerabilidad de seguridad en el protocolo de staking de Bedrock permitió a los usuarios intercambiar Bitcoin Universal (uniBTC), un Bitcoin envuelto en la plataforma, por Ethereum en una proporción de 1:1, a pesar de una diferencia de precio de más de $60.000.
El exploit, que ahora ha sido “manejado,” resultó en una perdida estimada de $2 millones, principalmente de las pools de liquidez de exchanges descentralizados. El protocolo de staking dijo que está trabajando para recuperar los fondos perdidos, que un plan de reembolso está siendo “finalizado,” y que compartirá la prueba de reservas “una vez que esté disponible.”
Dedaub, una firma de seguridad de terceros, había notificado a Bedrock sobre la vulnerabilidad horas antes del ataque, pero la mayoría del equipo estaba dormido, por lo que no pudo actuar a tiempo. La vulnerabilidad surgió como parte de una actualización de contrato que tuvo lugar 36 horas antes del ataque, lo que desajustó la tasa de cambio entre Ethereum y Bitcoin.
Bedrock confirmó a Decrypt que el contrato inteligente en cuestión no había sido auditado antes de ser desplegado. Un portavoz señaló que sus contratos inteligentes suelen ser auditados por las firmas de seguridad Blocksec y Peckshield.
“Lamentablemente, no seguimos las estrictas convenciones de obtener una auditoría para esto y pagamos el precio,” dijo el portavoz a Decrypt. “Estamos asumiendo toda la responsabilidad y compensaremos completamente la cantidad de BTC obtenida por el explotador.”
En muchos aspectos, el protocolo tuvo suerte de que solo se llevaran $2 millones. Según explicó Dedaub, la explotación fue una “vulnerabilidad de creación infinita” en el token uniBTC, lo que significa que los fondos de todo el protocolo podrían haber sido drenados. Sin embargo, en colaboración con el grupo de sombrero blanco [hackers que ayudan a exponer vulnerabilidades sin aprovecharse de ellas] Seal 911, las posibles pérdidas se minimizaron al pausar los protocolos de terceros expuestos a fondos en riesgo.
“Queremos informarles que el equipo de Bedrock está al tanto de una vulnerabilidad de seguridad que involucra a uniBTC. El problema ha sido resuelto y los fondos están seguros.” publicó Bedrock en Twitter más de seis horas después de que se destacara en Twitter, “En este momento, no se requieren acciones adicionales de nuestra comunidad. Tengan la seguridad de que todo el uniBTC en manos de los usuarios está seguro.”
⚠️Important Announcement from the Bedrock Team
We want to inform you that the Bedrock team is aware of a security exploit involving uniBTC. The issue has been handled and funds are SAFU.
We want to reassure everyone that the underlying wrapped BTCs and BTCs in reserves are…
— Bedrock | Bitcoin Restaking LIVE (@Bedrock_DeFi) September 27, 2024
En el momento de la escritura, uniBTC vale $63.450 mientras que Ethereum solo vale $2.660, según CoinGecko. Esto significa que por cada uniBTC que el atacante haya creado, habría obtenido más de $60.000.
La billetera inicial fue financiada mediante Tornado Cash, un mezclador de criptomonedas sancionado por el Tesoro de los EE. UU., antes de llevar a cabo la explotación a las 6:28 p.m. UTC del jueves por un monto de $1,8 millones. Luego envió los fondos robados a una nueva billetera que ahora contiene 650 ETH ($1,73 millones). Ambas direcciones luego recibieron mensajes blockchain de la dirección del desplegador de Bedrock.
“Nos gustaría comunicarnos contigo invitándote a convertirte en un [hacker de] sombrero blanco para el reciente incidente,” el mensaje dice. “¿Estarías interesado en trabajar con nosotros y hacer que el protocolo sea más seguro? Y estamos felices de trabajar en una recompensa por tu ayuda.”
Los hackers sombrero blanco utilizan sus habilidades para ayudar a aumentar la seguridad de las plataformas identificando vulnerabilidades. Hay innumerables ejemplos de protocolos de criptomonedas perdiendo millones en ataques para luego ser devueltos, en un giro de rescate de sombreros blancos.
Sin embargo, por ahora, esto no parece ser el caso para Bedrock, ya que la billetera que contiene los fondos robados está inactiva.
Editado por Stacy Elliott.
Nota del editor: Esta historia fue actualizada después de la publicación con más detalles y un comentario de Bedrock, así como una aclaración sobre el estado de la firma de seguridad Dedaub en relación con Bedrock. Contrario a lo que Bedrock originalmente dijo a Decrypt, Dedaub dice que no está afiliado con Bedrock y simplemente advirtió al protocolo como hackers éticos de terceros.