El intercambio descentralizado Clipper fue explotado por aproximadamente $450,000 después de que un atacante explotara dos de los pools de liquidez del protocolo en las blockchains de Optimism y Base.
A las 4 am UTC del 1 de diciembre, un atacante manipuló la función de retiro de Clipper, explotando su capacidad para procesar transacciones de intercambio y retiro agrupadas, escribió el protocolo en su primer informe posterior al incidente.
Los fondos perdidos de los pools de liquidez en Optimism y Base representaron aproximadamente el 6% del valor total bloqueado en la plataforma, obligándola a suspender intercambios y depósitos en todas las cadenas y deshabilitar la capacidad de retirar en forma de solo un token.
“Los retiros siguen disponibles porque Clipper es no custodial y nunca puede impedirte retirar. Sin embargo, cualquier retiro debe estar en la mezcla de todos los activos en el pool”, escribió Clipper Dex.
Una investigación inicial de Chaofan Shou, cofundador de la firma de seguridad Fuzzland, sugirió que la explotación se debió a una filtración de clave privada, lo que permitió al atacante firmar solicitudes de depósito y retiro para extraer fondos. Sin embargo, Clipper ha desmentido estas afirmaciones, enfatizando que su arquitectura de seguridad está diseñada para prevenir tales vulnerabilidades.
Mientras tanto, Clipper aseguró a su comunidad que todos los fondos restantes son seguros, prometiendo actualizaciones regulares mientras continúa su investigación. El equipo también está rastreando activamente los activos robados y ha invitado al atacante a entablar un diálogo.
También te puede gustar: el protocolo Thala reanuda operaciones después de un exploit de $25.5 millones
La explotación de Clipper ocurre poco más de un mes después de que Radiant Capital, basado en LayerZero, perdiera más de $50 millones el 18 de octubre. Los hackers lograron infectar los sistemas de tres de los desarrolladores principales del protocolo, lo que les permitió explotar el protocolo de préstamos después de obtener control sobre sus claves privadas y contratos inteligentes.
Más recientemente, el protocolo Thala perdió $25.5 millones después de que una actualización a sus contratos de agricultura introdujera una vulnerabilidad.
Según la firma de seguridad blockchain PeckShield, aproximadamente $88.4 millones se perdieron debido a hacks de criptomonedas en octubre, llevando las pérdidas totales en cadena a $181 millones.
Un informe reciente de Immunefi destacó que los ataques en noviembre apuntaron más a DeFi que a las plataformas de finanzas centralizadas, mientras que las pérdidas totales de criptomonedas para 2024 hasta noviembre mostraron una disminución del 15% en comparación con el mismo período del año pasado.
Lee más: la Fundación Tapioca ofrece una recompensa de $1 millón al atacante después de un exploit de $4.7 millones
