cryptopolitan.com
Clober, un mercado descentralizado en Base, ha sido explotado por 133 ETH. El equipo ofreció al sombrero blanco una tarifa del 20% para recuperar el acceso a los fondos.
Una de las bóvedas de liquidez de Clober, un DEX en la cadena Base, sufrió recientemente un exploit. El hacker logró retirar 133 ETH envueltos en una sola transacción.
🚨 URGENTE: Alerta de violación de seguridad 🚨
Lamentamos informar a nuestra comunidad que Clober Liquidity Vault se ha visto comprometida por una violación de seguridad.
Queremos asegurarles a nuestros usuarios que el protocolo Clober en sí no se ve afectado y que todas las funcionalidades principales continúan funcionando...
- Clober | CLOB DEX totalmente en cadena (@CloberDEX) 10 de diciembre de 2024
Después del ataque, los fondos se volvieron a enviar a la cadena principal de Ethereum, que tiene muchas rutas para mezclar o intercambiar.
El protocolo afirmó que ninguna otra característica del protocolo se vio afectada y no hizo ningún llamado a los usuarios para que tomaran medidas adicionales.
Base es una de las cadenas relativamente más seguras con pocos ataques denunciados. Sin embargo, el crecimiento de su sector DeFi ha aumentado la frecuencia de los intentos de robar fondos valiosos. Al igual que con otros ataques, los estafadores pueden intentar publicar enlaces de phishing que intenten vaciar las billeteras.
Además de Base, Clober ha creado una versión de Arbitrum, que no se vio afectada por el ataque. Clober Core y la red de prueba Mitosis también son seguros y no se congelarán ni se detendrán.
La bóveda en cuestión se ha vaciado y no hay otros fondos en riesgo. La bóveda Clober V2 todavía está operativa y actualmente está acumulando su valor bloqueado, según los datos de Messari. Esa bóveda contiene un poco más de $17K.
A pesar de la petición de una comisión de sombrero blanco, el hacker retuvo los fondos. El equipo contactó al hacker directamente a través de la cadena Ethereum con un mensaje para resolver el problema.
El equipo de Clober pidió ayuda y ofreció una comisión de sombrero blanco para devolver la liquidez. | Fuente: Etherscan
El proyecto está trabajando con Match Systems para una posible solución de sombrero blanco, donde el hacker recibe una comisión pero devuelve la mayor parte de la liquidez.
El hacker utilizó la falla de la función de quema para robar fondos
Para completar la explotación, el hacker de Clober depositó solo 2,87 ETH de Binance. Después de retirar los fondos, se movieron a través del puente del protocolo Across, terminando en dos direcciones de Ethereum.
Las dos direcciones (1 y 2) se crearon específicamente para la transacción del puente para sacar los fondos de Base y llevarlos a la red principal de Ethereum.
Según PeckShield, el hackeo fue posible debido a problemas con la función de quema, que permitió la llamada de retiro.
Clober ofreció libros de órdenes completamente en cadena
Clober sigue siendo un protocolo en etapa inicial con una liquidez relativamente baja. Su bóveda de liquidez ahora está prácticamente vacía. El protocolo también incorporó la liquidez el 9 de diciembre, según los datos de DeFi Llama. El ataque ocurrió un día después, lo que sugiere que el hacker puede haber estado siguiendo de cerca el protocolo.
En los últimos días se vieron exploits similares por sumas relativamente pequeñas. Los eventos recientes han explotado fallas lógicas en contratos inteligentes, lo que ha llevado a intentos relativamente fáciles de drenar fondos.
El reciente exploit ocurrió solo unos días después de que Clober completara una auditoría de sus contratos inteligentes. Contrató a Kupia Security para la auditoría, una empresa conocida por múltiples recompensas por errores para proyectos de alto perfil.
Solo unos días antes de eso, Clober también anunció su enfoque de bóveda de liquidez, que tenía como objetivo suavizar la actividad de DEX y los swaps. En ese momento, se jactó de que su liquidez de $ 500K podría generar volúmenes de $ 1.2M en 24 horas, lo que sirve para completar transacciones de manera más eficiente. Fue precisamente esta liquidez disponible la que el explotador se llevó.
La bóveda de liquidez de Clober se lanzó por primera vez en Base hace poco más de una semana, con el objetivo de reemplazar a los creadores de mercado automatizados (AMM) habituales para las operaciones DEX. Clober también estuvo muy activo con su promoción, llamando específicamente la atención sobre su enfoque de liquidez dirigida y el potencial de grandes volúmenes.
Clober se lanzó justo después de que Base hubiera alcanzado un nuevo récord en valor bloqueado, con su sector DeFi que ahora tiene $3.86 mil millones en TVL. Clober tiene como objetivo ofrecer un modelo similar a Aerodrome, donde la liquidez dirigida logra volúmenes mucho más altos, al apuntar al rango de precios más común para los comerciantes.