El proyecto GameFi Super Sushi Samurai (SSS), construido en la capa 2 de Coinbase y la aplicación de mensajería Telegram, presenció un retiro de USD 4.8 millones el 21 de marzo de sus pools de liquidez por parte de un autoproclamado hacker ético tras descubrir una falla de doble gasto.
En un comunicado a Cointelegraph, la firma de análisis blockchain CertiK señaló que "la vulnerabilidad está dentro de la función _update() de los contratos [SSS], que no actualiza correctamente los saldos al transferir a sí mismo". Por lo tanto, cuando un usuario transfiere todo su saldo de tokens SSS a sí mismo, el saldo resultante se duplica.
The @SSS_HQ $SSS LP was just drained on blast because their token contract has a bug where transferring your entire balance to yourself doubles it.
— Coffee ☕️ (@coffeexcoin) March 21, 2024
The order of operations decrements the balance for "from" and then sets the balance for "to" - if these are the same address, the… pic.twitter.com/RStMcFH3sy
CertiK señaló que durante el incidente, un usuario, operando desde la dirección 0x786C8f95C17BB990a040dc4D6539B01FC1b72842, inicialmente compró 690 millones de tokens SSS, transfirió la totalidad del saldo a sí mismo, lo duplicó 25 veces y finalmente terminó "con 11.5 billones de tokens SSS que luego fueron vendidos por 1,310 ETH (~USD 4,590,827)."
Poco después del incidente, el usuario que realizó el doble gasto de los tokens declaró en un mensaje en la blockchain:
"Hola equipo, este es un hackeo de rescate de sombrero blanco. Vamos a trabajar en reembolsar a los usuarios. Por favor, contacten a través del chat de Blockscan desde el desplegador de SSS 0x555b28f3b8b3b8ebd1b06997c2078fd94529f555 en la red principal de Ethereum".
A pesar de su buena voluntad, sin embargo, vale la pena señalar que el autoproclamado hacker ético provocó el colapso del token SSS después de retirar USD 4.8 millones en fondos. Antes del colapso, SSS tenía una capitalización de mercado total de USD 27.75 millones. Los tokens han perdido desde entonces más del 99% de su valor. El mismo día, los desarrolladores de SSS respondieron:
"Hola, hacker ético; hemos contactado contigo en Blockscan. Gracias por cooperar con nosotros. Equipo de SSS".
Justo un mes antes, el nuevo token ERC-X Miner se desplomó un 99% después de que un usuario descubriera una falla de doble gasto que llevó a la acuñación infinita de tokens. "Es una lástima que el contrato tenga lagunas de bajo nivel. Puedes duplicar tu saldo transfiriendo dinero a ti mismo", dijo Yu Xian, cofundador de la firma de seguridad blockchain de Singapur SlowMist, respecto al incidente. La falla provocó pérdidas para los usuarios de más de USD 10 millones.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.