The news is by your side.

Coder gana $ 8 millones mediante Flashloaning Stablecoin Bug – Trustnodes


Un codificador experto se ha embolsado $ 8 millones al explotar un error de reentrada en el contrato inteligente oUSD de Origin Protocol.

OUSD es un nuevo token que rastrea el precio del dólar 1: 1 al estar respaldado por otras monedas estables como USDt.

El proyecto dice que este USDt y otros activos de monedas estables se envían a protocolos definidos para ganar intereses, con el token de oUSD libre para moverse o usarse mientras también gana el interés de los activos subyacentes.

Básicamente, se trata de abstraer activos, por ejemplo, en Compuesto, dándoles un token de propiedad, con este token ahora libre de la carga de prestar / pedir prestado mientras disfruta del beneficio de los intereses.

Genial, excepto que hay un error de reentrada. Los ethereans de 2016 sabrán que estos errores son del tipo en el que, debido a un error de codificación, el contrato inteligente cree que tienes derecho a acuñar el token cuando en realidad no es así. El equipo dice, y citamos extensamente:

“El ataque fue un error de reentrada en nuestro contrato. Desafortunadamente, nuestro contrato estaba a salvo de errores de reentrada a menos que una de nuestras monedas estables admitidas nos atacara.

El atacante aprovechó un cheque de validación faltante en mint multiple (cuando acuñó OUSD con múltiples monedas estables) para pasar una "moneda estable" falsa bajo su control. Esta "moneda estable" fue denominada "transferFrom" por la bóveda, lo que permite al pirata informático explotar el contrato con un ataque de reentrada en el medio de la ceca.

El atacante pudo crear un evento de rebase dentro de la segunda casa de moneda después de que los fondos se hubieran movido a OUSD desde la primera gran moneda, pero antes de que aumentara la oferta de OUSD. Esto creó un rebase masivo para todos en el contrato, incluido el atacante. El atacante también recibió su primera gran moneda OUSD, dándoles en total más OUSD que los activos del contrato.

El atacante retiró la mayoría de las monedas estables de OUSD.

Luego pudieron tomar OUSD extra después de retirarlo y venderlo en Uniswap y Sushiswap por USDT en transacciones posteriores ".

Flashloan bug exploit of Origin stablecoin, noviembre de 2020

Este codificador se molestó en detenerse y recolectar tokens compuestos otorgados para proporcionar liquidez con algunas acciones realizadas solo para recolectar $ 9 en activos / eth.

Así que eleva la tarifa de transacción a $ 250, un pequeño precio a pagar por los $ 8 millones que recibió gracias a unas pocas líneas de código.

Esos $ 8 millones ahora han pasado en gran medida por el mezclador Tornado Cash y renBTC con el equipo suplicando al pirata informático que devuelva los fondos.

Algo que bien puede hacer en parte, devolver quizás $ 2 millones y el resto quizás sea mejor utilizarlo para financiar algún tipo de escuela de codificación donde pueda enseñar a los niños todo este genio en su yate.

Todo eso realmente gratis en la medida en que no necesitó por adelantado los 70,000 eth, $ 32 millones, ya que dYdX se lo dio porque el código flashloan obtuvo una ganancia considerable.

Lo que significa que los codificadores de contratos inteligentes deben ser aún más cuidadosos ahora y deben borrar de la consideración el costo del ataque porque con los préstamos flash, el costo es prácticamente cero, excepto por la habilidad y el tiempo de codificación.

Imagen destacada cortesía de Coder Julien Bouteloup



Los comentarios están cerrados.