El protocolo DeFi Abracadabra<\/strong> ha sufrido una p\u00e9rdida de $1.8 millones<\/strong> tras ser atacado por un individuo que explot\u00f3 un simple error l\u00f3gico en su funci\u00f3n de lote. Seg\u00fan analistas de Hacken<\/strong>, el atacante logr\u00f3 blanquear los fondos a trav\u00e9s de Tornado Cash<\/strong>.<\/p>\n A principios de octubre, Abracadabra, un protocolo de pr\u00e9stamos DeFi que permite a los usuarios pedir prestado su stablecoin MIM<\/strong> utilizando tokens depositados como colateral, volvi\u00f3 a ser v\u00edctima de un ataque, esta vez perdiendo aproximadamente $1.8 millones<\/strong>. El atacante utiliz\u00f3 un error l\u00f3gico en la funci\u00f3n de lote del protocolo para solicitar pr\u00e9stamos sin aportar colateral, replicando un ataque que hab\u00eda ocurrido d\u00edas antes en un proyecto bifurcado, seg\u00fan un informe de la firma de seguridad blockchain Hacken compartido con crypto.news.<\/p>\n Abracadabra se lanz\u00f3 como una plataforma que permite a los usuarios utilizar tokens generadores de intereses como colateral para pedir prestado un token vinculado al d\u00f3lar estadounidense, conocido como Magic Internet Money (MIM)<\/strong>. El sistema se basa en dos componentes: las Calderas<\/strong>, que gestionan las reglas de pr\u00e9stamo, y la DegenBox<\/strong>, la b\u00f3veda compartida que almacena los tokens. En resumen, los usuarios depositan colateral en una Caldera, mientras que la DegenBox lleva un registro de las transacciones detr\u00e1s de escena.<\/p>\n El problema surgi\u00f3 cuando una bandera de seguridad, que deber\u00eda forzar una verificaci\u00f3n final para asegurar que un prestatario realmente ten\u00eda colateral, se desactiv\u00f3 dentro de una \u00fanica transacci\u00f3n. Seg\u00fan el informe de Hacken, el atacante <\/p>\n \u00abexplot\u00f3 un error l\u00f3gico en la funci\u00f3n cook de Abracadabra, donde pod\u00edan pedir prestados tokens MIM y luego restablecer inmediatamente la bandera de validaci\u00f3n que deb\u00eda verificar si ten\u00edan suficiente colateral\u00bb<\/p><\/blockquote>\n . Esto permiti\u00f3 que se realizara un pr\u00e9stamo \u00fanico sin colateral a trav\u00e9s de m\u00faltiples Calderas.<\/p>\n Para entender c\u00f3mo ocurri\u00f3, es importante mencionar que Abracadabra utiliza una funci\u00f3n agrupada llamada cook<\/strong>, que permite a los usuarios realizar varias acciones en una sola transacci\u00f3n, como depositar colateral y pedir prestado con un solo clic. Una de estas acciones, el paso de \u00abpedir prestado\u00bb<\/strong>, establece una bandera llamada needsSolvencyCheck<\/strong> en verdadero, lo que significa que al final de la transacci\u00f3n se debe verificar la solvencia del prestatario. Sin embargo, otra acci\u00f3n que se puede ejecutar dentro del mismo lote llama a la funci\u00f3n _additionalCookAction(\u2026)<\/strong>. Hacken se\u00f1ala que esta funci\u00f3n fue declarada como \u00abvirtual\u00bb<\/strong> y nunca fue implementada, lo que provoc\u00f3 que devolviera un objeto vac\u00edo donde todo estaba configurado como falso, incluida la bandera needsSolvencyCheck<\/strong>. Como resultado, el atacante pudo solicitar el pr\u00e9stamo, luego llam\u00f3 a la acci\u00f3n predeterminada que restableci\u00f3 la bandera, y al final, el protocolo nunca verific\u00f3 la solvencia del prestatario.<\/p>\n Los analistas indican que el atacante golpe\u00f3 seis Calderas simult\u00e1neamente, obteniendo aproximadamente 1.79 millones de MIM<\/strong> y cambi\u00e1ndolos por ETH<\/strong>. Los atacantes aprovecharon la vulnerabilidad y drenaron sistem\u00e1ticamente cada una de las seis Calderas utilizando la misma t\u00e9cnica con una llamada de funci\u00f3n cook dedicada. Despu\u00e9s de realizar el intercambio, el atacante enrut\u00f3 los fondos a trav\u00e9s de Tornado Cash<\/strong>, un protocolo de mezcla de criptomonedas, enviando gradualmente 10 ETH<\/strong> cada uno durante el d\u00eda siguiente.<\/p>\n Este no es el primer incidente en el que el c\u00f3digo CauldronV4<\/strong> de Abracadabra se ha visto involucrado en problemas. Otros incidentes a principios de este a\u00f1o utilizaron diferentes casos extremos dentro de la misma familia de contratos. Lo interesante es la r\u00e1pida reacci\u00f3n del despliegue bifurcado. Seg\u00fan el informe, una bifurcaci\u00f3n llamada Synnax<\/strong> paus\u00f3 o elimin\u00f3 de la lista blanca su maestro CauldronV4<\/strong> en su propia DegenBox d\u00edas antes del drenaje de Abracadabra, lo que sugiere que el equipo de bifurcaci\u00f3n activ\u00f3 el freno de emergencia al detectar el mismo patr\u00f3n de vulnerabilidad, indicando que el riesgo era visible para los equipos que observaban el c\u00f3digo, aunque no se hab\u00eda solucionado.<\/p>\n","protected":false},"excerpt":{"rendered":" Incidente de Seguridad en Abracadabra El protocolo DeFi Abracadabra ha sufrido una p\u00e9rdida de $1.8 millones tras ser atacado por un individuo que explot\u00f3 un simple error l\u00f3gico en su funci\u00f3n de lote. Seg\u00fan analistas de Hacken, el atacante logr\u00f3 blanquear los fondos a trav\u00e9s de Tornado Cash. Detalles del Ataque A principios de octubre, Abracadabra, un protocolo de pr\u00e9stamos DeFi que permite a los usuarios pedir prestado su stablecoin MIM utilizando tokens depositados como colateral, volvi\u00f3 a ser v\u00edctima de un ataque, esta vez perdiendo aproximadamente $1.8 millones. El atacante utiliz\u00f3 un error l\u00f3gico en la funci\u00f3n de lote<\/p>\n","protected":false},"author":3,"featured_media":10016,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[13,65,1927,8782,8783,2038],"class_list":["post-10017","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-ethereum","tag-hack","tag-hacken","tag-magic-internet-money","tag-mim","tag-tornado-cash"],"yoast_description":"El protocolo DeFi Abracadabra perdi\u00f3 $1.8 millones debido a un error l\u00f3gico que fue explotado por un atacante, lo que resalta las vulnerabilidades en su funci\u00f3n de lote.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/10017","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=10017"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/10017\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/10016"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=10017"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=10017"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=10017"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Detalles del Ataque<\/h2>\n
El Error L\u00f3gico<\/h2>\n
Consecuencias del Ataque<\/h2>\n
Reacciones y Lecciones Aprendidas<\/h2>\n