Investigadores de seguridad cripto descubrieron y frustraron una amenaza crítica que afectaba a miles de contratos inteligentes, lo que podría haber evitado el robo de más de USD 10 millones en criptomonedas.
El jueves, el investigador pseudónimo Deeberiroz, de Venn Network, compartió en una publicación de X que una vulnerabilidad de puerta trasera había estado amenazando silenciosamente el ecosistema durante meses. El investigador afirmó que el exploit se dirigía a contratos proxy ERC-1967 no inicializados, lo que les permitía secuestrar los contratos antes de que se hubieran configurado correctamente.
Venn Network descubrió la vulnerabilidad el martes, lo que desencadenó una operación de rescate de 36 horas en la que participaron varios desarrolladores, entre ellos los investigadores de seguridad Pcaversaccio, Dedaub y Seal 911, que trabajaron juntos para evaluar los contratos afectados y trasladar o proteger los fondos vulnerables.
Los atacantes inyectaron implementaciones de contratos maliciosos
Or Dadosh, cofundador y presidente de Venn Network, declaró a Cointelegraph que el atacante se adelantó a las implementaciones de contratos e inyectó implementaciones maliciosas.
"En términos sencillos, el atacante aprovechó ciertas implementaciones que le permitieron colocar una puerta trasera bien oculta en miles de contratos", explicó Dadosh a Cointelegraph, añadiendo que el atacante podría haberse apoderado de los contratos vulnerables en cualquier momento.
Tras el ataque, el hacker tuvo una puerta trasera indetectable e inamovible durante meses. Una vez inicializado el contrato, la actividad maliciosa se volvió casi invisible.
Los investigadores de seguridad burlaron a los atacantes manteniendo la vulnerabilidad en secreto durante la operación, lo que condujo a un rescate exitoso.
Deeberiroz afirmó que varios protocolos de finanzas descentralizadas (DeFi) pudieron proteger las criptomonedas en riesgo durante la operación, actuando antes de que los atacantes pudieran desviar los activos.
"Encontramos decenas de millones de dólares potencialmente en riesgo", afirmó Dadosh. "Pero aún más aterrador es que esto podría haber seguido creciendo y una parte mayor del TVL [valor total bloqueado] total de los protocolos involucrados podría haber estado en peligro".
Berachain suspende el contrato, Lazarus es el sospechoso
Entre los protocolos afectados se encontraba Berachain, cuyo equipo respondió suspendiendo el contrato afectado. El jueves, la Fundación Berachain reconoció la posible vulnerabilidad y suspendió su contrato de reclamación de incentivos y transfirió sus fondos a un nuevo contrato.
"Ningún fondo de los usuarios está en riesgo ni se ha perdido", escribió la Fundación Berachain en X. "Los incentivos se podrán reclamar de nuevo en las próximas 24 horas, ya que se están recreando los merkles para su distribución".
El investigador de seguridad de Venn Network, David Benchimol, sospecha que el infame grupo de hackers norcoreano Lazarus estuvo involucrado en el ataque. Benchimol declaró a Cointelegraph que "el vector de ataque era muy sofisticado y se desplegó en todas las cadenas EVM".
El investigador también señaló que el atacante estaba esperando un objetivo más grande antes de atacar, lo que hace más probable que se trate de un grupo organizado. A pesar de ello, Benchimol declaró a Cointelegraph que no hay confirmación de que Lazarus estuviera involucrado.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.