Shezmu - Rekt
El vault de Shezmu se ha convertido en el último campo de batalla donde desaparecieron $4.9 millones más rápido que un espejismo en el desierto.
Pero, en un giro digno de un thriller cripto, la historia se desarrolló no con un estruendo, sino con una negociación.
El 20 de septiembre, Shezmu se encontró en la mira de un hacker oportunista que descubrió una falla crítica: un vault que aceptaba como colateral tokens que cualquiera podía mintear.
Con esta vulnerabilidad, el atacante logró pedir prestada una cantidad arbitraria de ShezUSD, drenando millones del protocolo.
Sin embargo, en un movimiento que haría sudar incluso a los jugadores de póker más experimentados, Shezmu desafió al hacker.
Pusieron sus cartas sobre la mesa: devuelve los fondos a cambio de una recompensa del 10% y te irás libre, o enfréntate a todo el peso de la ley en 24 horas.
El hacker, imperturbable, contraatacó exigiendo un 20% de recompensa.
En este juego de "quién parpadea primero" en el mundo cripto, Shezmu fue quien cedió, aceptando pagar la recompensa del 20%.
En un mundo donde el código es la ley, pero la negociación salva el día, ¿quién tiene realmente la mano ganadora: el hacker con el botín o el protocolo con la flexibilidad para adaptarse?
Créditos: Chaofan Shou, Shezmu
Chaofan Shou, cofundador de la firma de análisis blockchain Fuzzland, fue quien dio la alarma:
"ShezmuTech ha sido hackeada / ruggeada. ~$4.9M en $ShezUSD robados."
El culpable fue un vault con una vulnerabilidad enorme: aceptaba como colateral tokens que cualquiera podía mintear.
Esta falla fatal permitió al atacante pedir prestada una cantidad arbitraria de ShezUSD, imprimiendo dinero más rápido que Jerome Powell con una sobredosis de azúcar.
Solo 17 días antes del exploit, el 3 de septiembre, Shezmu había desplegado una actualización de contrato: 0x8db5356ec348a991adaadfd7f366d72eccafcb0113c7ac31f1dddde9c8c3f81e
¿Fue esta actualización la que introdujo la vulnerabilidad? ¿O simplemente no parcheó una ya existente?
En el rápido mundo de DeFi, incluso las actualizaciones de rutina pueden convertirse en bombas de tiempo.
Un rastro de direcciones y transacciones comenzó a emerger, pintando un cuadro más claro del exploit:
Contrato del ataque:
0xEd4B3d468DEd53a322A8B8280B6f35aAE8bC499C
Atacante de Shezmu (creador del contrato):
0xA3a64255484aD65158AF0F9d96B5577F79901a1D
Contrato creado para el ataque:
0x39328ea4377a8887d3f6ce91b2f4c6b19a851e2fc5163e2f83bbc2fc136d0c71
El atacante no solo tropezó con una vulnerabilidad; diseñó un contrato a medida para explotarla.
Durante el exploit, Chaofan Shou notó algo interesante:
“Debido a la baja liquidez, estos $4.9M en $ShezUSD se intercambiaron por solo $700K.”
¿Podría un gran golpe maestro haber sido frustrado por las dinámicas del mercado?
A medida que la noticia del ataque se extendía como la pólvora en la cripto-esfera, el equipo de Shezmu no perdió el tiempo.
En pocas horas, el equipo de Shezmu actuó rápidamente, emitiendo un comunicado instando a los usuarios a evitar la dApp mientras investigaban.
Shezmu contactó al atacante con una oferta que esperaban no pudiera rechazar: una recompensa del 10% a cambio de la devolución segura de los fondos.
El mensaje fue claro: juega limpio, y lo llamaremos un hackeo de sombrero blanco. Recházalo, y enfréntate a todo el peso de la ley.
Pero nuestro hacker no estaba dispuesto a rendirse tan fácilmente.
La conversación on-chain se desarrolló con sorprendente civismo, considerando los millones en juego.
Poco después, los fondos comenzaron a regresar en pequeños montos.
Shezmu confirmó la recuperación de los fondos robados, menos la recompensa acordada, y declaró que un análisis post-mortem estaba en camino.
Fondos devueltos:
0x058a453abb03803aacfcc94cbeb410ceb56aa8aa2edb4ad3efa3e78522980cba
La comunidad observó en tiempo real cómo una catástrofe potencial se transformaba en una clase magistral de gestión de crisis.
Después del ataque, Shezmu emergió golpeado, pero no derrotado.
Pero aquí es donde la trama se complica. ¿Recuerdas la baja liquidez mencionada antes? Resulta que podría haber sido la clave para toda esta resolución.
Como señaló Chaofan Shou, nuestro primer observador atento:
"Debido a la baja liquidez, estos $4.9M en ShezUSD se intercambiaron por solo $700K."
En resumen, ¿fue la amenaza de acción legal, la atracción de una recompensa considerable, o el frío y duro cálculo de la liquidez lo que resolvió este caso?
Quizás fue este último factor el que convirtió a nuestro hacker de sombrero negro en uno de sombrero blanco.
Aunque la rápida negociación de Shezmu salvó el día, no puede borrar el evidente descuido en sus prácticas de seguridad.
Shezmu no logró examinar a fondo su actualización de contrato del 3 de septiembre, dejando la puerta abierta para un hacker ingenioso.
Al final, ¿fue habilidad o suerte lo que evitó la ruina total de Shezmu?
Su apresurada recompensa del 20% pudo haber salvado millones, pero es solo una curita en una herida de bala.
Y la banda sonora de esta escena, ya demasiado familiar:
Como un disco rayado, suena de nuevo la misma melodía: otro exploit tras una actualización.
En DeFi, el parche de ayer es el exploit de mañana, y cada actualización es una apuesta.
En un mundo donde el código es la ley, pero el error humano es constante, ¿quién tiene realmente el control: los desarrolladores, los auditores o los hackers que esperan entre bastidores?
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Tapioca DAO - Rekt
Otro día, otro robo de clave privada, otro protocolo rekt. Tapioca DAO en Arbitrum sufre una pérdida de aproximadamente $4.4 millones debido al compromiso de una clave privada. Se han recuperado algunos fondos, aunque el alcance total del daño aún está por verse.
Radiant Capital - Rekt II
Radiant Capital sufre un recorte de $53 millones. ¿Pensabas que los multi-sigs eran seguros? Piénsalo otra vez. La "robusta" configuración 3/11 de Radiant se desplomó como un castillo de naipes. Exploited dos veces en 2024, el futuro de Radiant parece tan brillante como un agujero negro.
Sobreviviendo al Peligro Digital
¿Crees que has dominado el campo minado cripto? Piensa de nuevo. Sobreviviendo al Peligro Digital - La guía rekt para convertir la paranoia en una forma de arte. Es hora de mejorar tus habilidades de supervivencia en cripto.