Clipper, un intercambio descentralizado (DEX), ha revelado que una vulnerabilidad en su función de retiro llevó al reciente hackeo de $450,000.
El protocolo aclaró en un comunicado del 1 de diciembre en X que, contrariamente a las afirmaciones anteriores de terceros, la explotación no se debió a una filtración de claves privadas, sino a un defecto de diseño en su proceso de retiro.
El hackeo apunta a dos pools de liquidez
La brecha, que ocurrió el 1 de diciembre, impactó a dos de los pools de liquidez de Clipper, representando el 6% del valor total bloqueado (TVL) del intercambio. Clipper aseguró a los usuarios que ningún otro pool se vio afectado y que la explotación ha sido resuelta.
“Ha habido afirmaciones de terceros sugiriendo una filtración de claves privadas,” declaró Clipper. “Podemos confirmar que este no es el caso y es inconsistente con el diseño y la arquitectura de seguridad de Clipper.”
La vulnerabilidad estaba relacionada con la capacidad de retirar fondos en forma de un solo token, descrito como una “transacción de intercambio + depósito/retiro agrupado.” Esta característica ha sido desactivada como medida de precaución.
El incidente salió a la luz después de que Chaofan Shou, cofundador de la firma de seguridad Fuzzland, sugiriera en X que el hack podría haber resultado de una vulnerabilidad de API, permitiendo a los atacantes firmar solicitudes de depósito y retiro fraudulentamente. Clipper desestimó estas afirmaciones pero reconoció la necesidad de una investigación exhaustiva.
El protocolo toma medidas ante el aumento de robos de criptomonedas
A raíz del hackeo, Clipper ha pausado intercambios y depósitos mientras mantiene abiertos los retiros, aunque con condiciones más estrictas. Los usuarios solo pueden retirar fondos en una mezcla de activos de los pools afectados. El protocolo está rastreando activamente los fondos robados y ha extendido una rama de olivo al atacante, invitándolo a iniciar comunicación para posibles negociaciones.
Esta brecha se suma a la preocupante cifra de más de $1.48 mil millones en criptomonedas robadas a nivel mundial en 2024, según un reciente informe de Immunefi. Si bien esta cifra marca una disminución del 15% en comparación con el mismo período del año pasado, subraya las vulnerabilidades persistentes que afectan al sector DeFi.
Shipyard Software Inc., el creador de Clipper, aún no ha emitido más declaraciones sobre el incidente. Para Clipper y sus usuarios, el hackeo sirve como un recordatorio contundente de la importancia de los protocolos de seguridad robustos en la protección de plataformas descentralizadas.
El hackeo del Clipper DEX expone una vulnerabilidad de $450,000, el equipo descarta la filtración de claves privadas, apareció primero en TheCoinrise.com.