Los expertos de Decurity han descubierto una vulnerabilidad en el contrato inteligente del protocolo DeFi DxSale. El posible daño causado por el hackeo asciende a $5.2 millones.
La empresa se puso en contacto con la administración de la plataforma, pero esta no creyó inmediatamente que se trataba de auditores.
Finalmente, Decurity ofreció una recompensa de $500. El CEO de la compañía señaló que esto causó “decepción”. Se advirtió a los usuarios que tuvieran precaución al interactuar con la plataforma.
La empresa de ciberseguridad Decurity ha informado que ha descubierto una vulnerabilidad en el protocolo DxSale con un posible daño de $5.2 millones. Como recompensa, la plataforma ofreció $500, lo cual fue considerado por la organización como una “decepción inesperada.”
“Durante la verificación, encontramos un contrato inteligente no verificado en BSC. A pesar de la falta de código fuente, la dirección tenía una cantidad significativa de tokens LP en PancakeSwap”, se indica en el informe.
Se trata de esta dirección. Mediante la descompilación, los especialistas de Decurity determinaron que el contrato permitía bloquear la liquidez en pools individuales en DxSale.
Sin embargo, se encontró una vulnerabilidad en él. Un hacker podía desbloquear infinitamente los tokens en el contrato debido a la falta de una verificación correspondiente.
En total, los pools que interactuaban con la dirección tenían 21,600 wBNB, según se indica en el informe. Por lo tanto, el posible daño causado por el hackeo del contrato inteligente asciende a $5.2 millones.
Reacción de la plataforma
“Una vez que verificamos todo, nos comunicamos con DxSale en Telegram. No nos respondieron durante mucho tiempo y luego no creyeron que éramos auditores”, señaló el CEO de la compañía, Omar Ganiev.
Finalmente, se solucionó la vulnerabilidad estableciendo una tarifa de bloqueo a un nivel que hace que intentar hackear sea poco práctico. Decurity señaló que la solución no es eficiente, pero su declaración no fue tomada en cuenta.
En última instancia, la administración de la plataforma ofreció una recompensa a los analistas por un monto de $500. Según el CEO de Decurity, están contentos de haber protegido los fondos de los usuarios, pero este enfoque para solucionar vulnerabilidades y el pago anunciado causan “decepción”.
Anteriormente, describimos un caso similar. En septiembre de 2022, el hacker “riptide” evitó un gran hackeo en Arbitrum. Por esto, recibió una recompensa de 400 ETH (aproximadamente $587,000 en ese momento).
Antes de eso, la administración de la plataforma ofrecía recompensas de hasta $2 millones por descubrir un error crítico. “Riptide” acusó al equipo de Arbitrum de engaño y afirmó que son precisamente estos casos los que hacen que los “sombreros blancos” consideren pasar al sector ilegal.
