Los hackeos de DeFi siguen ocurriendo. Para los fondos robados de los proyectos DeFi, generalmente es difícil recuperarlos. Algunos proyectos negocian con el hacker para ofrecer una recompensa y prometen abandonar las acciones legales. A veces funciona, pero establece un mal precedente. Es como alentar a las personas a hackear para obtener una recompensa, en lugar de fomentar una divulgación responsable.
BlockSec ha adoptado un enfoque diferente para ayudar a múltiples proyectos a recuperar sus fondos robados. Además de la forma habitual de rastrear el flujo de fondos y cooperar con entidades centralizadas como los exchanges, queremos compartir nuestras tres historias de éxito en la recuperación de fondos robados puramente a través de métodos técnicos, incluidos los recientes Platypus Finance, TransitSwap, y Saddle Finance.
Platypus Finance: 2,4 millones de USD recuperados
The Block tiene una buena historia sobre cómo funcionó nuestra recuperación de fondos para Platypusdefi. Básicamente, el atacante cometió un error: no había forma de mover los fondos desde el contrato de ataque. Esto se debió a que el atacante olvidó escribir la lógica de código para transferir los tokens desde el contrato de ataque.
Sin embargo, nuestro equipo encontró una manera de aprovechar el código existente en el contrato de ataque para mover USDC desde el contrato al contrato del proyecto. Básicamente, el contrato del atacante tiene una función que, al ser invocada, hace que el contrato de ataque apruebe un número fijo de USDC al contrato del proyecto. Este código fue utilizado con fines de ataque. Sin embargo, podemos reutilizar esta lógica de código para aprobar el USDC al contrato del proyecto, y luego actualizar el contrato del proyecto (es un contrato proxy) para mover el USDC desde el contrato del atacante.
Evaluamos esta idea con nuestro PoC y compartimos la información con Platypusdefi. Trabajamos estrechamente con ellos y ¡el método funcionó! Se recuperaron 2,4 millones de USDC en la siguiente transacción.
- https://phalcon.blocksec.com/explorer/tx/avalanche/0x5e3eb070c772631d599367521b886793e13cf0bc150bd588357c589395d2d5c3
- https://phalcon.blocksec.com/tx/avax/0x5e3eb070c772631d599367521b886793e13cf0bc150bd588357c589395d2d5c3
We have successfully recovered the 2.4 million USDC from the attacked contract: https://t.co/lpDYQtu9bf
— Platypus 🔺 (🦆+🦦+🦫) (@Platypusdefi) February 17, 2023
We would like to express our gratitude to @BlockSecTeam for their time and effort in helping us achieve a successful outcome. We are truly thankful for their assistance!
TransitSwap: 246K USD recuperados
TransitSwap en BSC fue atacado el 1 de octubre de 2022. Algunas transacciones de ataque fueron adelantadas por un Bot.
Sin embargo, descubrimos que este bot era sospechoso de tener la vulnerabilidad de la herramienta profanity. La vulnerabilidad se debe a una aleatoriedad insuficiente al generar la clave privada. Hemos desarrollado una herramienta que puede recuperar la clave privada de dichas direcciones vulnerables.
Recuperamos con éxito la clave privada del bot. Sin embargo, los fondos estaban en el contrato del Bot, en lugar de en el EoA. Logramos descompilar el contrato y encontrar una función que podía usarse para transferir los fondos.
Hemos transferido los fondos a la dirección oficial de recepción de fondos de TransitFinance.
📢📢📢Updates about TransitFinance
— Transit Swap | Transit Buy | NFT (@TransitFinance) October 6, 2022
With the help of BlockSec @BlockSecTeam, about $246K attacked by the 4th attacker has been fully refunded. https://t.co/G7iB3JvspP
Leer más sobre Cómo recuperamos los fondos robados para TransitSwap (y BabySwap)
Saddle Finance: 3,8 millones de USD recuperados
Para Saddle Finance, adoptamos otro método para realizar el rescate. La idea básica es escuchar el pool de transacciones pendientes de Ethereum, detectar la transacción de ataque a través de nuestro sistema de pre-ejecución de transacciones Mopsus, y bloquear el ataque sintetizando automáticamente una transacción de rescate que mueve los activos vulnerables a nuestra cuenta segura, adelantándose a la transacción de ataque mediante FlashBot. La siguiente figura muestra la arquitectura.
La siguiente línea de tiempo muestra cómo nuestro sistema rescató 3,8 millones de USD para Saddle Finance a finales de abril de 2022. En particular, nuestro sistema completó todo el proceso de detección de la transacción de ataque y sintetizó automáticamente la transacción de rescate en menos de un segundo. Devolvimos todos los fondos rescatados a Saddle Finance. Haz clic en el enlace para ver la transacción del hackeo original y nuestra transacción de rescate.
Leer más: Protegiendo Web3 mediante la prevención proactiva de amenazas
Resumen
Los tres casos anteriores son solo ejemplos representativos. De hecho, tenemos más casos exitosos de rescate de fondos.
Siempre consideramos que la seguridad de DeFi no puede resolverse mediante una única metodología. No existe una solución mágica. BlockSec ha desarrollado varias herramientas (y está desarrollando más) y servicios para ayudar a asegurar todo el ecosistema. Contamos con Phalcon, un explorador de transacciones para Blockchain, servicio de auditoría de código de seguridad (compatible con Solidity, Rust, Go y Move), y servicios proactivos de mitigación de ataques. Hemos desarrollado varias herramientas para que los usuarios de criptomonedas combatan los ataques de phishing, incluyendo MetaSleuth, una herramienta de análisis de fondos cripto, y MetaSuites, una extensión de navegador para exploradores de blockchain. Continuamente reportamos URLs de phishing y direcciones a MetaMask y Etherscan. BlockSec ha colaborado con socios como Cronos, Forta, Tokenlon, KeyStone, Goplus, y más, para asegurar todo el ecosistema cripto.
No dudes en contactarnos si tienes alguna pregunta.
Conoce más sobre BlockSec: Sitio web | Documentación | Twitter | Blog | Grupo de TG
