Puntos clave:
Ekubo Protocol, un intercambio descentralizado, perdió aproximadamente 1,4 millones de dólares en Wrapped Bitcoin (WBTC) después de que un exploit atacara sus contratos de enrutador de intercambio en las redes Ethereum y Arbitrum. La vulnerabilidad surgió de una falta de verificación de validación que permitió a un atacante drenar fondos de usuarios que previamente habían otorgado aprobación a los contratos.
El ataque fue reportado por primera vez por la firma de seguridad Blockaid y luego confirmado por el equipo de Ekubo. "El exploit de Ekubo Protocol ocurrió debido a un error simple pero costoso en el código", afirmó un anuncio oficial. El problema central fue una "falta de validación del pagador" en la función de devolución de llamada IPayer.pay, que no pudo verificar la fuente de los parámetros, lo que permitió al atacante transferir tokens en nombre de los usuarios.
Los datos muestran que el exploit resultó en el robo de aproximadamente 17 WBTC a través de 85 transacciones. El protocolo principal de Ekubo, que opera principalmente en Starknet, sigue siendo seguro. La vulnerabilidad se limitó a contratos de enrutadores V2 y V3 específicos en cadenas compatibles con EVM, afectando solo a los usuarios que habían otorgado aprobaciones de tokens ilimitadas a estas direcciones. Los proveedores de liquidez y los usuarios del protocolo nativo de Starknet no se vieron afectados.
Este incidente resalta los riesgos persistentes asociados con las aprobaciones de tokens en el espacio DeFi en Ethereum. Aunque es conveniente, otorgar permisos ilimitados a los contratos inteligentes puede exponer a los usuarios a pérdidas significativas si se descubre una vulnerabilidad. El equipo de Ekubo está preparando un informe post-mortem y ha advertido a los usuarios que tengan cuidado con las posibles estafas de reembolso, aconsejándoles que sigan los canales oficiales para obtener actualizaciones.
El equipo de Ekubo insta a todos los usuarios que hayan interactuado alguna vez con los contratos de enrutador afectados en Ethereum o Arbitrum a revocar cualquier permiso activo de inmediato. Esto se puede hacer utilizando herramientas confiables de terceros como revoke.cash.
Revocar aprobaciones para estas direcciones de contrato específicas:
Ethereum:
0x8ccb1ffd5c2aa6bd926473425dea4c8c15de60fd (V2)0x4f168f17923435c999f5c8565acab52c2218edf2 (V3)Arbitrum:
0xc93c4ad185ca48d66fefe80f906a67ef859fc47d (V3)Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
