Paid Network, una plataforma DeFi para empresas del mundo real, fue explotada hoy en un ataque «Infinite Mint» que vio caer los precios de los tokens pagados en un 85%.
Si bien el exploit generó casi $ 180 millones en tokens pagados en el momento del ataque, que habría sido el mayor exploit de cualquier protocolo DeFi, el día de pago del pirata informático será mucho menor. Un observador señaló que la billetera del atacante solo convirtió una parte de sus tokens en éter envuelto, dejando el resto en tokens PAGADOS rápidamente depreciables:
Resumen de $ PAGADO Incidente:
Total PAGADO intercambiado por WETH: 2079.603371141493
= $ 3,104,887.33Monto total que queda en la cuenta: 594,717,455.71
= $ 24,313,147Monto total en la cuenta del atacante = $ 27,418,034.33
Mantenerse a salvo. pic.twitter.com/Lz93qGKAq0
– vasa (@vasa_develop) 5 de marzo de 2021
La billetera del atacante todavía tiene más de 57 millones de tokens pagados por un valor de $ 37 millones.
El exploit es conceptualmente similar a un ataque a la cobertura del registro de seguros que tuvo lugar a fines de diciembre del año pasado. En este caso, el equipo tomó una «instantánea» de los propietarios antes del ataque y emitió un nuevo token que devolvió la entrega del token a los niveles previos a la explotación.
El equipo confirmó en Twitter que actualmente están planificadas una instantánea y una restauración:
Estamos investigando el problema. Hemos retirado liquidez, estamos creando un nuevo contrato inteligente y restauraremos a todos a sus saldos originales antes del hack.
Aquellos con compromiso, Lpool & UniFarm $ PAGADO sus tokens se le envían manualmente.
Lanzaremos más actualizaciones pronto
– RED DE PAGO (@paid_network) 5 de marzo de 2021
Los poseedores de tokens ansiosos por encontrar una solución pueden no tener suerte. Algunos en la comunidad especulan que el ataque PAID no fue un exploit en absoluto, sino un «rugpull», un término de jerga para un informante que redacta contratos para explotarlos deliberadamente y robar los fondos de los usuarios.
Nick Chong de Parafi Capital señaló en Twitter que el contrato de despliegue de Paid, una cuenta controlada externamente, transfirió la propiedad del desplegador al atacante poco antes de que se acuñara la moneda, lo que indica que un miembro del equipo estuvo involucrado en el ataque realizado o admitido falsamente un rugpull tiene una vulnerabilidad de seguridad:
El implementador de la red de pago, un EOA, transfirió la propiedad de un contrato al atacante 30 minutos antes del minuto https://t.co/h14GdV4fCf
– Nick Chong (@ n2ckchong) 5 de marzo de 2021
Además, una cuenta de análisis de riesgo de DeFi @WARONRUGS advirtió sobre este exploit exacto a fines de enero y declaró que el titular del contrato puede acuñar tokens PAGADOS en cualquier momento:
❌ Aviso de estafa # 86 – Red PAGADA $ PAGADO (0x8c8687fC965593DFb2F0b4EAeFD55E9D8df348df)
Motivo: El propietario puede acuñar fichas y carteras frescas que nunca hayan comprado en preventa. El contrato está detrás de un representante autorizado.
Probabilidad de perder todos los fondos: muy alta
DYOR. #WARONRUGS❌ pic.twitter.com/YQunjpWuxY
– # WARONRUGS❌ (@WARONRUGS) 25 de enero de 2021
Una nota en cadena enviada al atacante advirtió amenazadoramente que «la policía de Los Ángeles se pondrá en contacto con Kyle Chasse en breve». Kyle Chasse es el director ejecutivo de Paid Network.
Paid Network no respondió a una solicitud de comentarios en el momento de la publicación.