- El atacante tardó más de dos días en crear carteras 423 y pools de tokens falsos antes del exploit.
- La falla de protección contra deslizamiento contó el mismo valor de token dos veces a lo largo de pasos secuenciales de swap.
- Tether congeló 3,29 millones de dólares estadounidenses directamente en la cartera del atacante cuando comenzaron los esfuerzos de recuperación.
Rhea Finance publicó esta semana una autopsia detallada tras perder 18,4 millones de dólares en un exploit que los investigadores describen como una combinación de dos vectores de ataque DeFi conocidos ensamblados en algo nuevo. Revelaron que el ataque no ocurrió en cuestión de minutos. Tardó dos días en prepararse.
La preparación
Entre el 13 y el 15 de abril, el atacante construyó discretamente la infraestructura necesaria para el drenaje:
- Creé una cartera de tema financiada mediante transferencias cross-chain
- Fondos distribuidos en 423 monederos intermediarios únicos en rápida sucesión automatizada
- Desplegó contratos de tokens falsos diseñados específicamente para ello que no expusieron metadatos estándar
- Se crearon ocho nuevos pools de trading en Ref Finance que emparejan tokens falsos contra USDC, USDT y wNEAR con ratios de precio artificialmente controlados
- He construido un router swap que conecta estos pools falsos como vector de ataque
Cuando el exploit se lanzó el 16 de abril, toda la infraestructura estaba en su lugar y esperando.
Cómo funcionó realmente el truco del deslizamiento
La elegancia técnica del ataque es lo que lo hace destacado. La función de trading de margen de Rhea Finance incluye protección contra deslizamiento que suma los resultados esperados en todos los pasos del swap para verificar que los usuarios reciben un valor justo. El atacante encontró un fallo en cómo funciona ese cálculo a lo largo de pasos secuenciales.
El exploit en términos claros:
- Paso 1: 1.000 USDC se convierten en 999 AttackerToken con una salida mínima de 999
- Paso 2: 999 AttackerToken convierte de nuevo a 1 USDC con una salida mínima de 1
- El cheque de deslizamiento es: 999 más 1 equivale a 1.000. Parece bien.
- Realidad: Solo 1 USDC volvió al protocolo. El 999 USDC está en el grupo del atacante.
La comprobación contaba AttackerToken como la salida final sin reconocer que se gastaba inmediatamente como entrada para el siguiente paso. Los fondos prestados se canalizaban hacia los fondos falsos del atacante. Las posiciones valían inmediatamente mucho menos que su deuda, lo que desencadenó liquidaciones forzadas que agotaron el fondo de reservas.
El precedente más cercano es el exploit KyberSwap de 2023, que costó 54,7 millones de dólares usando el mismo principio de contar el mismo valor dos veces en operaciones secuenciales.
Dónde están las cosas
Aproximadamente 9 millones de los 18,4 millones ya han sido recuperados o congelados, incluidos 3,29 millones de dólares estadounidenses congelados por Tether directamente en la cartera del atacante. El contrato de préstamo ha sido suspendido mientras continúan los esfuerzos de recuperación.
El equipo de Near Intents ha sugerido que el atacante ha sido identificado e incluso podría tener presencia pública en X. Se ha abierto un rastreo formal con intercambios centralizados para identificar al titular de la cuenta.
La autopsia de Rhea Finance incluye la cronología completa de ataques, hashes de transacciones y la línea exacta de código vulnerable. Se describe como una de las revelaciones de exploits más detalladas en la historia de DeFi.
Relacionado: Rhea Finance afectada por un exploit de 7,6 millones de dólares tras un ataque a un pool de tokens falsos
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
