Vestra DAO parece haber sido hackeado. Los analistas en la cadena notaron actividad sospechosa donde los tokens VSTR, el token nativo ERC-20 del protocolo, estaban siendo movidos de contratos inteligentes disponibles y enviados inmediatamente al mezclador Tornado.

Al menos $480K en tokens habían sido robados en el momento de los informes. Aunque el ataque inicial fue relativamente pequeño, el riesgo permaneció para otros participantes. El investigador en la cadena Chaofan Shou fue quien notó primero la explotación, aconsejando a todos los usuarios que retiraran permisos.

Vestra DAO @Vestra_DAO ha sido hackeado justo ahora y sigue en curso. Pérdida de $480K ya y más por venir. Retira tu participación y saca liquidez inmediatamente. pic.twitter.com/0b9i1lhrEw

— Chaofan Shou (@shoucccc) 4 de diciembre de 2024

La explotación ha afectado el contrato de staking del token VSTR, con los fondos liquidados inmediatamente y enviados al mezclador Tornado. Para VSTR, más del 65% de los tokens están bloqueados para gobernanza, con más de 34B de tokens.

El contrato inteligente afectado sostiene los 755M restantes de tokens VSTR, que constituyen el 1.51% del suministro total. A pesar del ataque contra un token relativamente pequeño, el posterior colapso del mercado borró aún más valor del proyecto. Por ahora, Vestra DAO puede tener suficiente VSTR en sus reservas para compensar a los usuarios, mientras intenta reparar su daño reputacional.

El explotador esperó un mes antes de explotar una falla de lógica en el contrato

El explotador vendió apresuradamente, pagando 0.51 ETH a Beaverbuild por inclusión prioritaria en un bloque. El contrato de staking bloqueado de Vestra DAO se vio afectado, enviando directamente tokens VSTR.

Durante horas, el explotador envió transacciones de spam por 520K o 500K VSTR al contrato, al final, comerciando $480K en total. El ataque explotó una falla de lógica en el contrato, lo que permitió al hacker recibir 20,000 VSTR después de cada transacción.

El análisis en la cadena mostró que el atacante primero apostó VSTR al contrato hace 30 días, acechando y estudiando la falla del contrato. Luego, la serie automatizada de transacciones comenzó a extraer VSTR con cada iteración de staking y unstaking.

Los chequeos de datos en cada depósito y retiro no activaron ninguna advertencia, permitiendo al atacante drenar el contrato a través de múltiples transacciones de depósito y retiro. El contrato solo verificó la madurez una vez, pero el hacker había cumplido el requisito apostando hace 30 días.

El resultado de la explotación fue una ganancia de 125 ETH, que fue mezclada a través de Tornado Cash. El atacante gastó $40K en gas de Ethereum para los intercambios más rápidos posibles, convirtiéndose brevemente en el mayor usuario de gas en la cadena.

Vestra DAO no ha emitido los detalles del ataque y afirmó que los fondos de los usuarios permanecieron sin afectar. Sin embargo, el contrato fue drenado de sus tokens VSTR, claramente sacando valor del proyecto.

Tokens VSTR hackeados un mes después del lanzamiento comercial

Vestra DAO es un proyecto relativamente nuevo, con tokens VSTR comerciando desde el 6 de noviembre. El token solo está disponible en un par de comercio de Uniswap V3.

El DAO realizó su primera propuesta el 14 de octubre, y estaba vinculada a la venta de 1B de tokens del tesoro del proyecto. El token VSTR aún tiene solo 1,643 titulares, lo que suma al efecto limitado del hackeo.

El token se desplomó inmediatamente después del ataque, de $0.013 a $0.005. Más tarde, VSTR subió lentamente a $0.009 pero sigue siendo extremadamente ilíquido y volátil. Además de la pérdida directa, VSTR también eliminó la mitad de su capitalización de mercado.

En este punto, VSTR puede ser incluso más arriesgado que los tokens meme en etapa temprana. El mayor riesgo es que los tokens VSTR solo tienen $1.9M en liquidez, que no está bloqueada y puede ser explotada aún más a través de un rug pull.

Vestra DAO (VSTR) aún depende de un par de Uniswap V3, mientras su liquidez está desbloqueada y en riesgo de un rug pull. | Fuente: DexScreener

El otro riesgo para el proyecto es que sus contratos invocan funciones de contratos inteligentes externos, lo que lleva a una advertencia general en CoinGecko. Vestra DAO afirmó haber puesto en la lista negra su contrato de staking, pero se desconoce si existen vulnerabilidades similares en otros contratos inteligentes.

Incluso para proyectos auditados, los contratos inteligentes pueden no ser siempre completamente seguros y pueden contener posibilidades de explotación. En el caso de VestraDAO, el proyecto en etapa temprana puede recuperarse y aumentar su fiabilidad.

Vestra DAO apeló a la comunidad cripto turca, uno de los grupos más activos de primeros adoptantes. El token VSTR incluso tuvo un precio de conversión a lira turca.

De Cero a Web3 Pro: Tu Plan de Lanzamiento de Carrera de 90 Días