Caos en DeFi: USD 31 millones drenados de MonoX y las pérdidas de BadgerDAO superan los USD 120 millones

　　Brian Newar

　　Caos en DeFi: USD 31 millones drenados de MonoX y las pérdidas de BadgerDAO superan los USD 120 millones

　　Una semana decepcionante de exploits ha puesto una nube sombría temporal sobre el final de 2021, con BadgerDAO y MonoX sufriendo grandes pérdidas.

　　Esta semana se han perdido más de USD 150 millones en violaciones de seguridad en los proyectos DeFi, MonoX y BadgerDAO.

　　El exchange descentralizado (DEX) multicadena MonoX (MONO) sufrió un ciberataque el 30 de noviembre que provocó unas pérdidas de USD 31 millones. BadgerDAO (BADGER) sufrió un ataque que se descubrió el 2 de diciembre y se estima que las pérdidas ascendieron a más de USD 120 millones.

　　La plataforma MonoX DEX sufrió un único ataque el 30 de noviembre. En este ataque, un fallo en el contrato inteligente permitió que existiera una discrepancia entre los precios de los activos, cuando se cambiaban manualmente.

　　Rekt News explicó que los hackers fueron capaces de inflar el precio de MONO a través del contrato inteligente, para luego comprar otros activos del protocolo con MONO.

　　“El hacker creó un bucle en el que el precio de tokenOut sobrescribiría el precio de tokenIn, haciendo subir el precio de MONO en el transcurso de muchos 'swaps'”.

　　El equipo de MonoX lo confirmó en un tuit del 30 de noviembre. En un postmortem publicado el 2 de diciembre, se confirmaron las pérdidas totales en unos USD 31 millones. El equipo añadió:

　　“Días como el de ayer son horribles, no hay que endulzar la dura realidad de un contrato explotado y de gente que pierde dinero. Nuestros seguidores pusieron su fe en un proyecto nuevo como nosotros, y ayer les decepcionamos.”

　　MONO fue listado en Huobi sólo cinco días antes del hackeo en MonoX.

　　La brecha de seguridad de Badger fue una amenaza continua para los usuarios que interactúan con la plataforma de Badger DAO en lugar de un único gran exploit.

　　Los usuarios de Discord comenzaron a reportar solicitudes de gasto inusuales desde la plataforma Badger y alertaron a los administradores en las redes sociales y Discord desde el 27 de noviembre.

　　El administrador Blackbear respondió que la solicitud era inusual, pero probablemente causada por un error benigno en la interfaz de usuario (UI) del front-end.

　　So someone on the $BADGER discord flagged the Increase Allowance exploit on the Badger UI a few days ago. Sadly, the team brushed it aside.

　　If your users are saying they're being requested to do things on your platform that seem odd, PLEASE take it seriously. https://t.co/WUYMhU9viz pic.twitter.com/S7VaqJ2DEr

　　— 0xMoves (@0xMoves) December 2, 2021Hace unos días, alguien en el Discord de BADGER señaló la vulnerabilidad de la interfaz de usuario de Badger. Lamentablemente, el equipo la ignoró.

　　Si tus usuarios dicen que se les pide que hagan cosas en tu plataforma que parecen extrañas, POR FAVOR, tómalo en serio.

　　El fallo en la interfaz de usuario resultó ser el atacante malicioso que intentaba robar fondos de la retirada de ese usuario. La misma táctica se utilizaría en usuarios aleatorios durante días, o incluso semanas antes de que se descubriera como un fallo de seguridad.

　　Al momento de redacción, las pérdidas del ataque Badger ascendían a más de USD 120 millones, incluyendo 2078,76 BTC, 30,27 ibBTC y 151,32 ETH, según la empresa de análisis de blockchain PeckShield. El equipo de Badger ha estado investigando el problema y ha puesto en pausa todos los contratos inteligentes del protocolo para evitar más pérdidas.