Un hacker aprovechó un error en un token de juego recientemente lanzado en la purple Blast, Tremendous Sushi Samurai, para robar aproximadamente 4,6 millones de dólares en Ethereum el 21 de marzo, menos de un mes desde su lanzamiento.
El exploit resultó en un deslizamiento de aproximadamente el 99% en el valor del token luego de un volcado de token no autorizado. El atacante extrajo 1310 ETH del fondo de liquidez principal del token duplicando su saldo repetidamente y luego vendiéndolo todo, según los detalles que Certik compartió con CryptoSlate.
Estaba previsto que Tremendous Sushi Samurai lanzara su juego web3 el mismo día. El incidente pudo haber sido llevado a cabo por un hacker de sombrero blanco que actualmente está en contacto con el equipo de Tremendous Sushi Samurai. Sin embargo, los detalles no están claros al cierre de esta edición.
Error de duplicación
Las investigaciones sobre el incidente revelaron que una parte no autorizada adquirió 690 millones de tokens SSS y posteriormente inició una serie de transacciones a través de un contrato de ataque diseñado específicamente para este propósito.
Al explotar una vulnerabilidad dentro de la función _update() de la plataforma, el atacante pudo duplicar los tokens en su poder 25 veces. Esta manipulación infló la cantidad del token a 11,5 billones, que finalmente se intercambió por aproximadamente 1.310 ETH, equivalente a alrededor de 4.590.827 dólares.
El exploit aprovechó una falla en el mecanismo de actualización del saldo del contrato inteligente, que no reflejaba con precisión los cambios cuando los tokens se transferían a la misma dirección. Este descuido permitió el aumento exponencial del saldo de tokens del atacante sin transacciones legítimas.
En febrero, se utilizó el mismo error para explotar un token basado en Ethereum llamado MINER. El hack resultó en una pérdida de 168,8 ETH.
Esfuerzos de recuperación
Tras la infracción, Tremendous Sushi Samurai se ha comprometido con su comunidad, brindando actualizaciones y garantías a través de su canal oficial de Telegram y otras plataformas de redes sociales.
El equipo dijo que está tratando de contactar al explotador, y el tweet más reciente de la plataforma de juegos indica que un hacker de sombrero blanco se comunicó sobre el incidente. Sin embargo, al cierre de esta edición no está claro si el sombrero blanco es responsable del exploit o si ayudó a recuperar los fondos.
Súper Sushi Samurai dijo:
“Estamos trabajando con el sombrero blanco para la devolución segura de los fondos. Seguirá una actualización y una autopsia”.
La dirección que contiene los fondos comprometidos se ha divulgado públicamente en un esfuerzo por facilitar el seguimiento y la posible recuperación de los activos perdidos:
“0x786C8f95C17BB990a040dc4D6539B01FC1b72842”
Los esfuerzos de comunicación del equipo tienen como objetivo mantener informadas a las partes interesadas sobre la evolución del incidente y las medidas para abordar la vulnerabilidad de seguridad.
Este incidente resalta la importancia crítica de protocolos de seguridad sólidos en el sector de las criptomonedas, donde la naturaleza digital de los activos los hace vulnerables a tales ataques. También destaca los desafíos actuales de las plataformas para protegerse contra amenazas cibernéticas sofisticadas.
