La última versión del exchange descentralizado de Bancor parece ser vulnerable a un error muy grave que puede provocar una pérdida significativa de fondos de los usuarios.

Según el tuit publicado por Bancor el 18 de junio, la vulnerabilidad afecta la última versión del contrato inteligente de BancorNetwork, que se lanzó el 16 de junio.

Se insta a los usuarios que comerciaron en Bancor y dieron una aprobación de retiro a su contrato inteligente a revocarlo a través de un sitio web especializado, approved.zone.

El equipo reveló que después de descubrir la vulnerabilidad, "atacaron el contrato como un 'white hack'" para migrar fondos en riesgo a un lugar seguro. Presumiblemente, el equipo utilizó la vulnerabilidad antes mencionada para hacerlo, lo que significa que un atacante podría haber drenado una porción significativa de los fondos de los usuarios.

Hex Capital tuiteó que el problema resultó de la posibilidad de llamar a un "safeTransferFrom" sin la autorización adecuada. Esta función es uno de los elementos clave del contrato ERC-20, ya que permite que un contrato inteligente retire cierta asignación sin requerir la interacción del usuario.

Hex Capital especuló que el equipo llegó "demasiado tarde en muchos casos" para salvar los fondos. Sin embargo, de acuerdo con una investigación realizada por el equipo de 1inch.exchange, la culpa recae en los front-runners.

Los front-runners "roban" parte del dinero

El equipo de 1inch.exchange encontró al menos dos front-runners conocidos públicamente que comenzaron a copiar las transacciones del equipo de Bancor tan pronto como comenzaron. Los bots de ejecución frontal se configuraron para aprovechar las oportunidades de arbitraje, y "no pudieron distinguir la oportunidad de arbitraje del hackeo", escribió el equipo.

Sin embargo, todos los front-runners que se unieron han listado públicamente la información de contacto, lo que debería significar que estarían dispuestos a devolver el dinero. Uno de ellos ya prometió devolver el dinero. Sin embargo, la porción que se dirigió a los front-runners fue significativa, el equipo de 1inch escribió:

“El equipo de Bancor rescató USD 409,656 en total y gastó 3,94 ETH por gas, mientras que los bots automáticos capturaron USD 135,229 y gastaron 1,92 ETH por gas. A los usuarios se les cobró USD 544,885 en total".

Las auditorías no fueron de ayuda

En respuesta al incidente, algunos miembros de la comunidad comenzaron a cuestionar si Bancor realizó auditorías sobre los nuevos contratos inteligentes. En el anuncio de la nueva versión 0.6, Bancor señaló que "una auditoría de seguridad estaba en marcha".

Si bien no había más información disponible, el investigador anónimo Frank Topbottom informó un hallazgo de su repositorio GitHub, que mencionaba una auditoría de seguridad realizada por Kanso Labs. La compañía parece estar basada en Tel Aviv, donde también se encuentra la mayor parte del equipo de Bancor.

El equipo de Bancor le dijo a Cointelegraph que la vulnerabilidad fue descubierta por un desarrollador externo poco después del lanzamiento, similar a cómo funcionaría con las recompensas de errores.

Como informó Cointelegraph anteriormente, las auditorías rara vez son suficientes para garantizar la seguridad.

Sigue leyendo: