CertiK: El protocolo DeFi WDZD Swap fue vulnerado por USD 1.1 millones

　　El presunto responsable es un conocido explotador, conocio como 'Fake_Phishing750' por BscScan.

　　El protocolo de finanzas descentralizadas (DeFi) WDZD Swap fue explotado el 19 de mayo por un valor de USD 1.1 millones en Binance Pegged Ether, según un informe del 21 de mayo de la empresa de seguridad blockchain, CertiK. Binance Pegged Ether representa Ether (ETH) que ha sido puenteado a BNB Smart Chain (BSC).

　　Según el informe, un atacante realizó nueve transacciones maliciosas que drenaron 609 Binance Pegged ETH, por valor de USD 1.1 millones al momento del ataque, de un contrato asociado con el proyecto WDZD.

　　WDZD afirma ser un proyecto DeFi que funciona con BNB Smart Chain. Lo promociona la cuenta de Twitter “DZDDAO”, que tiene más de 86,000 seguidores. El canal de Telegram vinculado a esta cuenta también tiene 28,000 miembros. Cointelegraph no pudo verificar cómo se supone que funciona el protocolo, y CertiK declaró que “no están al 100% en toda la mecánica del proyecto.” Sin embargo, la interfaz de usuario de la aplicación implica que se puede utilizar para cultivar un token llamado “WDZD” a cambio de bloquear ETH.

　　En una conversación del 24 de mayo con Cointelegraph, un representante de CertiK informó que WDZD también puede haber sido vendido a los usuarios por Binance Pegged ETH como parte de una oferta inicial DEX (IDO). CertiK compartió una imagen de lo que parece ser un anuncio de WDZD para una IDO.

　　La dirección de la BNB Smart Chain (BSC) en la parte inferior del anuncio es 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Datos de Blockchain muestran que se realizaron cientos de transferencias de ETH a esta cuenta. La cuenta también transfirió 460 ETH a otra dirección, donde luego se utilizó en una llamada a la función “Añadir liquidez”. Esta llamada se utiliza a menudo para depositar un activo en un pool de liquidez a cambio de tokens LP.

　　Datos de la blockchain muestran que los 460 ETH depositados acabaron en el contrato “Swap LP” en la dirección BSC: 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.

　　El 19 de mayo, un explotador conocido llamado “Fake_Phishing750” creó el contrato que posteriormente drenó los tokens del protocolo. Fake_Phishing750 fue responsable de un ataque a otro protocolo llamado “Swap X”, declaró CertiK.

　　Una vez que el atacante creó su contrato malicioso, lo utilizó para realizar nueve transacciones que drenaron USD 1.1 millones en ETH del contrato Swap LP donde se había depositado el ETH.

　　El contrato Swap LP no está verificado por BscScan, lo que significa que el código legible por humanos no está disponible, lo que hace difícil determinar exactamente cómo el atacante drenó los fondos. Sin embargo, CertiK afirma que el atacante pudo transferir tokens WDZD a la dirección de fábrica del protocolo a través de una llamada a una función no verificada. A continuación, estos WDZD se canjearon por tokens LP, que, a su vez, se canjearon por el ETH subyacente.

　　“El atacante manipuló una llamada de bajo nivel en la dirección de fábrica Swap-LP que activó la función 0x33604058 del par SwapLP”, afirmaba el informe. “Esto provocó la transferencia de todos los tokens WDZD del par a la dirección de fábrica. En consecuencia, el atacante fue capaz de adquirir un mayor número de SWAP LPs de la dirección no verificada 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, utilizando menos WDZD y posteriormente quemando los tokens LP para obtener ganancias”.

　　Cointelegraph intentó ponerse en contacto con el equipo de WDZD Swap a través de su canal de Telegram. Sin embargo, el canal mostró un mensaje de error que decía “el envío de mensajes no está permitido en este grupo”, lo que indica que puede haber sido configurado para permitir solo mensajes de administradores.

　　Hackeos, estafas y robos de activos han asolado la comunidad de criptomonedas en 2023. El 24 de abril, el protocolo Ordinals Finance supuestamente realizó un rug pull, drenando más de un millón de dólares en activos de los contratos del protocolo. El 2 de mayo, se perdió otro millón de dólares cuando un atacante se aprovechó de un fallo en un contrato de Level Finance.

　　CertiK informó en mayo de que las pérdidas por exploits disminuyeron en el primer trimestre, pero también afirmó que probablemente se trataba de un “respiro temporal”.

　　Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.