La startup de Blockchain, MonoX Finance, dijo el miércoles que un pirata informático robó 31 millones de dólares al explotar un error en el software que utiliza el servicio para redactar contratos inteligentes.
La compañía utiliza un protocolo de finanzas descentralizado conocido como MonoX que permite a los usuarios intercambiar tokens de moneda digital sin algunos de los requisitos de los intercambios tradicionales. “Los propietarios de proyectos pueden enumerar sus tokens sin la carga de los requisitos de capital y centrarse en utilizar fondos para construir el proyecto en lugar de proporcionar liquidez”, representantes de la empresa MonoX decir aquí. “Funciona agrupando tokens depositados en un par virtual con vCASH, para ofrecer un único diseño de grupo de tokens”.
Un error de contabilidad integrado en el software de la empresa permitió a un atacante inflar el precio del token MONO y luego usarlo para retirar todos los demás tokens depositados, MonoX Finance revelado en una publicación
Específicamente, el truco usó el mismo token que tokenIn y tokenOut, que son métodos para intercambiar el valor de un token por otro. MonoX actualiza los precios después de cada intercambio calculando nuevos precios para ambos tokens. Cuando se completa el intercambio, el precio de tokenIn, es decir, el token enviado por el usuario, disminuye y el precio de tokenOut, o el token recibido por el usuario, aumenta.
Al usar el mismo token para tokenIn y tokenOut, el pirata informático infló en gran medida el precio del token MONO porque la actualización del tokenOut sobrescribió la actualización del precio del tokenIn. Luego, el pirata informático cambió el token por $ 31 millones en tokens en las cadenas de bloques Ethereum y Polygon.
No hay ninguna razón práctica para intercambiar un token por el mismo token y, por lo tanto, el software que realiza transacciones nunca debería haber permitido tales transacciones. Por desgracia, lo hizo, a pesar de que MonoX recibió tres auditorías de seguridad
Las trampas de los contratos inteligentes
“Este tipo de ataques son comunes en los contratos inteligentes porque muchos desarrolladores no hacen el trabajo de campo para definir las propiedades de seguridad de su código”, Dan Guido, un experto en la obtención de contratos inteligentes como el que hackeado aquí. “Tuvieron auditorías, pero si las auditorías solo indican que una persona inteligente miró el código durante un período de tiempo determinado, entonces los resultados tienen un valor limitado. Los contratos inteligentes necesitan evidencia comprobable de que hacen lo que pretendes y solo lo que pretendes. Eso significa propiedades de seguridad definidas y técnicas empleadas para evaluarlas “.
El CEO de la consultora de seguridad Trail of Bits, Guido continuó:
La mayoría del software requiere mitigación de vulnerabilidades. Buscamos vulnerabilidades de manera proactiva, reconocemos que pueden ser inseguras mientras las usamos y creamos sistemas para detectar cuándo son explotadas. Los contratos inteligentes requieren la eliminación de vulnerabilidades. Las técnicas de verificación de software se utilizan ampliamente para ofrecer garantías demostrables de que los contratos funcionan según lo previsto. La mayoría de los problemas de seguridad en los contratos inteligentes surgen cuando los desarrolladores adoptan el primer enfoque de seguridad, en lugar del segundo. Hay muchos contratos y protocolos inteligentes que son grandes, complejos y muy valiosos que han evitado incidentes, junto con los muchos que se han explotado instantáneamente desde su lanzamiento.
Investigador de blockchain Igor Igamberdiev llevó a Twitter para desglosar la composición de las fichas escurridas. Los tokens incluyeron $ 18.2 millones en Wrapped Ethereum, $ 10.5 en tokens MATIC y $ 2 millones en WBTC. El botín también incluyó cantidades más pequeñas de tokens para Bitcoin envuelto, Chainlink, Unit Protocol, Aavegotchi e Immutable X.
Solo el último truco de DeFi
MonoX no es el único protocolo de finanzas descentralizado que ha sido víctima de un hack multimillonario. En octubre, Indexed Finance dijo perdió alrededor de $ 16 millones en un truco que aprovechó la forma en que reequilibra los grupos de índices. A principios de este mes, la empresa de análisis blockchain Elliptic dijo los llamados protocolos DeFi han perdido $ 12 mil millones hasta la fecha debido a robos y fraudes. Las pérdidas en los primeros aproximadamente 10 meses de este año alcanzaron los $ 10.5 mil millones, frente a los $ 1.5 mil millones en 2020.
“La relativa inmadurez de la tecnología subyacente ha permitido a los piratas informáticos robar los fondos de los usuarios, mientras que los profundos fondos de liquidez han permitido a los delincuentes blanquear el producto de delitos como ransomware y fraude”, afirma el informe de Elliptic. “Esto es parte de una tendencia más amplia en la explotación de tecnologías descentralizadas con fines ilícitos, a la que Elliptic se refiere como DeCrime”.
La publicación de MonoX del miércoles dijo que, durante el último día, los miembros del equipo tomaron los siguientes pasos:
- Intenté ponerme en contacto con el atacante para abrir un diálogo mediante el envío de un mensaje a través de una transacción en ETH Mainnet
- Detuvo el contrato e implementará una solución para someterse a pruebas más rigurosas. Después de elaborar un plan de compensación adecuado, trabajaremos en reanudar la pausa después de que nuestros socios de seguridad hayan dado el visto bueno.
- Se contactó con grandes intercambios para monitorear y posiblemente detener cualquier dirección de billetera vinculada al ataque
- Colaborar con nuestros asesores de seguridad para avanzar en la identificación del pirata informático y cómo mitigar el riesgo futuro
- Interacciones de billetera Tornado Cash con referencias cruzadas con billeteras que también usaron nuestra plataforma
- Se buscó cualquier metadato dejado por las interacciones de front-end con nuestro Dapp
- Direcciones de billetera detalladas y mapeadas que podrían considerarse ‘sospechosas’ en función de su interacción con nuestro producto. Por ejemplo, retirar una gran cantidad de liquidez antes del exploit
- Seguimiento continuo de la billetera con los fondos. Hasta ahora, se han enviado 100 ETH a Tornado Cash de los fondos robados. El resto sigue ahí.
- Además, presentaremos un informe policial formal.
La publicación dijo que MonoX Finance tiene un seguro que cubrirá pérdidas por valor de $ 1 millón y que la compañía ahora está “trabajando en distribuciones”.