Los atacantes aprovecharon un exploit de error de reingreso con el que se pudo extraer el capital en cuestión. Conic Finance suspendió operaciones de la Omnipool afectada, y aseguró que las demás no se vieron comprometidas.
***
- Atacantes roban unos 1.700 ETH a una Omnipool de Conic Finance
- El robo se estima en unos USD $3,6 millones
- Los atacantes aprovecharon un exploit presente en uno de los contratos
- Conic Finance ofreció detalles sobre lo ocurrido e indicó que las otras Omnipools no resultaron afectadas
La información fue difundida por el equipo de Conic Finance a través de sus canales oficiales, donde indicaron en horas de la mañana sobre la brecha de seguridad principalmente asociada con una de sus Omnipools, por lo que estaban haciendo las investigaciones respectivas.
We are currently investigating an exploit involving the ETH Omnipool and will share updates as soon as they are available.— Conic Finance (@ConicFinance) July 21, 2023
En relación al ataque, el equipo de Conic Finance publicó algunos detalles en una serie de mensajes, indicando que la causa del ataque se debió a un error de reingreso, el cual aprovechó el atacante para engañar al contrato inteligente y robar activos a través de varias solicitudes, aunque ya se estaban haciendo las correcciones respectivas. Al respecto, la firma de ciberseguridad BlockSec alegó que esta es uno de los exploits que más suelen aprovechar personas malintencionadas que atacan protocolos DeFi.
1/ Status update:– The root cause was a re-entrancy attack that was able to be performed because of a wrong assumption as to what address is returned by the Curve Meta Registry for ETH in Curve V2 pools
– A fix to the affected contract is being deployed https://t.co/tqyX8YBgvL
— Conic Finance (@ConicFinance) July 21, 2023
Por otra parte, también indicaron que no se puede aplicar este mismo exploit para atentar contra otros contratos, por lo que las demás Omnipools manejadas por el protocolo se han visto afectadas. Alegaron que los retiros son totalmente seguros y que realizarán una autopsia más detallada sobre los eventos ocurridos.
2/ The exploit cannot be done again for the ETH Omnipool.– Withdrawals are safe
– No other Conic Omnipools are affected by this issue
– A more detailed post mortem will be published soon
We will continue to share updates.
— Conic Finance (@ConicFinance) July 21, 2023
Tengamos presente que Conic Finance inició operaciones a principios de marzo de este año, y su propuesta se centra en el uso de Omnipools, protocolos que diversifican la exposición a todo el ecosistema de Curve derivando tasas más altas de recompensas. Tras su lanzamiento, hubo una importante demanda por el servicio, lo cual atrajo millones en sus distintos grupos de yield farming.
Volviendo con el ataque, como medida preventiva tras los acontecimientos ocurridos, los desarrolladores de Conic Finance informaron que cerraron la Omnipool afectada, por lo que suspendieron los depósitos con ETH para evitar futuros inconvenientes.
Artículo de Angel Di Matteo / DiarioBitcoin
Imagen de Unsplash
