La plataforma descentralizada Bancor descubrió una vulnerabilidad crítica en la última versión del contrato inteligente de BancorNetwork v0.6 lanzada hace unos días. Así lo anunció en Twitter el 18 de junio, pidiendo a los usuarios que hayan hecho intercambio en su plataforma en las últimas 48 horas y hayan aprobado el contrato de Bancor, que ingresaran a una página llamada approved.zone para revocar las aprobaciones. Luego, el exchange agregó:

“Después de descubrir la vulnerabilidad anoche, el equipo atacó el contrato como un white-hack para migrar los fondos en riesgo a un lugar seguro”

De esta manera, el objetivo de Bancor es realizar un auto hackeo para evitar que algún ciber criminal pueda aprovechar esta brecha para apropiarse de los fondos. Posteriormente, la plataforma informó por medio de Twitter que ya los fondos de los usuarios estaban a salvo y que habían implementado una nueva versión del contrato de BancorNetwork sin la vulnerabilidad. 

1inch.exchange analiza el problema

El equipo de 1inch.exchange analizó la brecha de seguridad en Bancor, explicando que la vulnerabilidad hacía que, una vez que los usuarios intercambiaban tokens en la plataforma, se realizaban infinitas aprobaciones de estos contratos.

Además, 1inch.exchange explica que luego de que Bancor comenzó a drenar los fondos para resguardarlos, al menos dos front-runners automáticos se unieron para ayudar. El equipo de investigación cree los más probable es que los front-runners que están colaborando devuelvan los fondos, aunque su software no está diseñado para distinguir entre un hackeo y una oportunidad de arbitraje.

Los front-runners recuperaron $135.229 de los fondos, para lo cual tuvieron que gastar 1,92 ETH en gas. Por su parte, el equipo de Bancor rescató $410.194, gastando 3,94 ETH de gas, lo que da un total de $545.423 recuperados.

El equipo de 1inch.exchange expresó que no sabía que si fue Bancor u otra persona la que descubrió el bug. Sin embargo, Bancor comunicó a la página Cointelegraph que fue un desarrollador externo el que detectó la vulnerabilidad y notificó al exchange. 

Otras opiniones

Los inversionistas de Hex Capital publicaron por Twitter que la posibilidad de drenar los fondos se debe a una función sin autorización de “safeTransferFrom” en su nuevo contrato. También opinó que aunque el equipo de Bancor estaba resguardando los fondos de los clientes, era probable que había llegado tarde en algunos casos. 

Aunque Bancor anunció que estaba realizando una auditoría antes de lanzar la última versión, algunos creen que no fue suficiente para detectar problemas. De todas maneras, la esperanza de la mayoría es que no haya problemas en la recuperación de los fondos y que todos los front-runner que colaboraron devuelvan todo lo rescatado. 

¿Qué te parece la respuesta de Bancor a la vulnerabilidad detectada?¿Crees que se puedan recuperar todos los fondos? Comparte con nosotros tu opinión en la sección de comentarios.

Comentarios

Comentarios