El exchange descentralizado (DEX) Clipper aclaró que una vulnerabilidad en su función de retiro permitió un reciente hackeo de USD 450,000 de su protocolo, en lugar de una fuga de clave privada, como sugirió un "tercero".
Clipper dijo en un post en X que el atacante explotó dos pools de liquidez el 1 de diciembre y se llevó alrededor del 6% de su valor total bloqueado. Añadió que ningún otro pool se vio afectado y que el exploit había terminado.
"Ha habido afirmaciones de terceros que sugieren una fuga de claves privadas", escribió Clipper. "Podemos confirmar que este no es el caso y es inconsistente con el diseño y la arquitectura de seguridad de Clipper".
"La capacidad de retirar en forma de un solo token (una transacción combinada de intercambio + depósito / retiro) está deshabilitada, porque esa parece haber sido la característica explotada", agregó.
Anteriormente, el cofundador de la empresa de seguridad Fuzzland, Chaofan Shou, había publicado en X que Clipper fue "hackeado debido a una vulnerabilidad de la API (como la fuga de claves privadas)" y añadió que la API probablemente tenía vulnerabilidades que permitían a un atacante firmar solicitudes de depósito y retiro y robar más fondos de los que ponían.
Fuente: Chaofan Shou
Clipper dijo que está investigando el incidente y prometió proporcionar más actualizaciones. Ha puesto en pausa los intercambios y depósitos en su protocolo. Los retiros están abiertos, pero "deben estar en la mezcla de todos los activos en el pool", dijo.
El proyecto dijo que está rastreando los fondos robados en un intento de recuperarlos y había pedido al explotador que se pusiera en contacto con el proyecto si está "dispuesto a hablar".
El hackeo se suma a los más de USD 1,480 millones en criptomonedas que han sido robadas en 2024 hasta finales de noviembre, un 15% menos que en el mismo periodo del año pasado, según un informe de Immunefi del 28 de noviembre.
El creador de Clipper, Shipyard Software Inc, no respondió inmediatamente a una solicitud de comentarios fuera del horario laboral normal. También se solicitó la opinión de Shou, que aún no ha respondido.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión