es
Volver a la lista

$ADA: Minswap parchea la vulnerabilidad que permitió drenar toda la liquidez en el contrato inteligente

Seguridad

criptopasion.com 25 Marzo 2022 12:40, UTC
  
Tiempo de lectura: ~5 m

El jueves (24 de marzo), Minswap, el intercambio descentralizado (DEX) impulsado por Cardano, anunció que había parcheado la “vulnerabilidad crítica que permitiría a alguien drenar toda la liquidez en el contrato inteligente”.

¿Qué es Minswap?

Según su libro blanco, Minswap es “un intercambio descentralizado (DEX) de creador de mercado automatizado (AMM) en Cardano que admite múltiples funciones de fijación de precios para un único grupo de liquidez”. Esta es una descripción de “discurso de ascensor” de Minswap de la guía de preguntas frecuentes del proyecto: “Nuestro objetivo es llevar un innovador intercambio descentralizado de grupos de activos de modelos múltiples a la cadena de bloques de Cardano. Minswap pretende ser el mejor proveedor de liquidez del mercado al integrar los mejores modelos de grupos de activos de todo el ecosistema DEX en un solo protocolo. La combinación de grupos estables, grupos de activos múltiples y liquidez concentrada beneficiará tanto a los comerciantes como a los proveedores de liquidez. Nuestros tokens se distribuyen de manera justa sin ninguna inversión privada o de capital de riesgo. Esto garantiza que nuestra comunidad de usuarios sea recompensada al máximo, no especuladores ni expertos”. El protocolo Minswap tiene dos tipos de tokens:

Ficha MÍN.: “El token de gobernanza del protocolo con utilidad futura”.ficha MENTA: “Un token que se puede convertir a MIN mediante el uso del protocolo. Aquí hay algunos datos más sobre Minswap: “Los tokens MIN se distribuyen de manera justa entre los participantes del protocolo y los proveedores de liquidez, que pueden participar en la gobernanza y votar democráticamente sobre los cambios en el protocolo”. “Minswap no requiere permisos, lo que significa que cualquiera puede enumerar tokens sin necesidad de KYC”. características novedosas como la gamificación o el reparto de beneficios. “En cuanto a la distribución de tokens, “el 78,5 % de los tokens se distribuirán a la comunidad, de los cuales el 70 % se reservará para recompensar los LP”. En la actualidad, Minswap “admite CCVault, Nami, Flint, Typhon y GeroWallet”, y planea agregar soporte para Yoroi en el futuro. El 19 de marzo, Minswap anunció que había abierto su código:

Estamos orgullosos de anunciar que nuestros Smart Contracts & Audit ahora son de código abierto, verificables y están disponibles en nuestro Github. Cualquiera es bienvenido a construir para y sobre @MinswapDEX.🎉👇👇
🔹 https://t.co/Temjx8aJNr— Minswap (@MinswapDEX) 19 de marzo de 2022

Descubrimiento y parcheo de la vulnerabilidad de seguridad

En una publicación de blog publicada ayer, el equipo de Minswap escribió que tres días después de abrir su código de contrato inteligente y su informe de auditoría, es decir, el 22 de marzo, se le informó sobre una vulnerabilidad crítica en sus contratos. Luego, el equipo “confirmó la vulnerabilidad y la reprodujo con éxito en la red de prueba privada”. Luego, el equipo “decidió censurar de inmediato todas las órdenes para evitar que se explotara esta vulnerabilidad y comenzar a enfocarse en una solución”. La vulnerabilidad crítica “consistía en la posibilidad de acuñar tokens NFT de grupo duplicados y usar esos tokens NFT para acuñar tokens LP infinitos de cualquier grupo”. La solución que se le ocurrió al equipo de Minswap fue bastante inteligente: escribieron un nuevo contrato inteligente que corrige esta vulnerabilidad y usaron la misma vulnerabilidad, que existía en el antiguo contrato inteligente, para trasladar toda la liquidez al nuevo contrato inteligente, de modo que ” todos los usuarios conservarían sus puestos”. En otras palabras, actuaron como piratas informáticos para explotar esta vulnerabilidad para “drenar toda la liquidez, luego crear fondos de liquidez en el nuevo contrato y enviar nuevos tokens LP a los usuarios en función de una instantánea que habíamos tomado de sus posiciones anteriores”. El equipo de Minswap señaló que “no puede migrar liquidez por voluntad propia de un Smart Contract a otro” y “se migró la liquidez a un nuevo Smart Contract porque se descubrió una vulnerabilidad que permitiría que esto sucediera, y se migró precisamente para evitar que suceda este exploit”. Dado que la vulnerabilidad ya se ha reparado, ahora que se ha implementado la solución, “ya no es posible que el equipo de Minswap mueva la liquidez de forma unilateral”. Además, mientras Minswap se ocupaba de la actualización de seguridad, se le “notificó sobre tres vulnerabilidades adicionales menos graves que podrían conducir a usos indebidos por parte de los agentes del dosificador o del propietario (también conocido como administrador) con respecto a los parámetros del grupo y la manipulación de datos”. Estos también han sido parcheados. Para mejorar la seguridad a corto plazo, el equipo de Minswap por ahora ha autorizado la “creación de un nuevo grupo”. En Minswap DEX v2, harán la transición “a un modelo más descentralizado y sin confianza”. Otro paso que se tomó para mejorar la seguridad fue “ingresar de inmediato un proceso continuo de auditoría y revisión de código con una nueva empresa de seguridad de Haskell”. Todos los fondos de los usuarios están seguros. Los usuarios de Minswap “conservan sus posiciones antes de que entráramos en modo de mantenimiento, incluidos los tokens LP apostados en Farms y la acumulación de recompensas MIN durante ese tiempo por hacerlo”.

Descargo de responsabilidad

Los puntos de vista y las opiniones expresadas por el autor, o cualquier persona mencionada en este artículo, son solo para fines informativos y no constituyen asesoramiento financiero, de inversión o de otro tipo. Invertir o intercambiar criptoactivos conlleva un riesgo de pérdida financiera.

¿Dónde comerciar Bitcoin con apalancamiento?

Stormgain es el exchange lider en criptomonedas. Y para celebrar el gran momento que está viviendo Bitcoin, está ofreciendo 25 USDT totalmente a sus nuevos usuarios.
Este Exchange es el Partner oficial del equipo del Newcastle de la Premier League.
Y de manera exclusiva para los usuarios de Criptopasion, Stormgain va a regalar 25 USDT con el primero depósito, el cual debe ser de un mínimo de $ 110.

Todo lo que se debe hacer es entrar en este enlace, registrarse y hacer el primer depósito de $ 110 ó más, para comenzar a disfrutar del comercio de criptomonedas con apalancamiento de hasta x200.
Código de la promoción: BONUS25


   Fuente
Volver a la lista