Pythia sufre un ataque de reentrada
El protocolo de finanzas descentralizadas Pythia Finance perdió 53.000 dólares a través de un ataque de reentrada el 3 de septiembre, según un informe de la empresa de seguridad blockchain Quill Audits. Pythia es un proyecto de moneda estable algorítmica que tiene como objetivo utilizar inteligencia artificial para gestionar su tesorería.
El atacante llamó a la función de reclamo de recompensas repetidamente, sin permitir que el saldo de recompensas se actualizara después de cada llamada, lo que le permitió recolectar más recompensas de las que le correspondían.
Según el informe, el atacante pudo llamar a esta función repetidamente y en rápida sucesión porque Pythia llamó a la función de transferencia segura de tokens cuando se distribuyeron las recompensas. Por lo tanto, un contrato de token malicioso podría volver a llamar a Pythia, lo que provocaría que Pythia lo llamara nuevamente y provocaría una reacción en cadena que podría agotar los fondos de los protocolos.
El informe de auditoría parcial de Quill Audits para Pythia no muestra ningún problema de seguridad sin resolver, lo que implica que el equipo puede haber actualizado el contrato para evitar cualquier uso futuro de este exploit.
Un ataque de reentrada, donde un atacante llama a una función repetidamente sin permitir que su código se ejecute completamente, es uno de los tipos más comunes de vulnerabilidades de contratos inteligentes.
Vulnerabilidad crítica de Zyxel
El 4 de septiembre, el fabricante de hardware de red Zyxel reveló una vulnerabilidad crítica en algunos de sus dispositivos de red que podría haber permitido a los atacantes ejecutar código en los enrutadores y puntos de acceso de los usuarios, lo que potencialmente permitiría a los piratas informáticos obtener acceso a los dispositivos de los usuarios.
Según la divulgación, la vulnerabilidad fue el resultado de la neutralización incorrecta de elementos especiales en el parámetro host en el programa CGI de varias versiones de firmware diferentes. Debido a esta neutralización incorrecta, estas versiones de firmware podrían permitir que un atacante no autenticado ejecute comandos del sistema operativo mediante el envío de una cookie diseñada a un dispositivo vulnerable.
Los usuarios de monederos de criptomonedas deben ser especialmente cautelosos ante posibles ataques contra sus redes domésticas. Si un atacante obtiene acceso a la red doméstica de un usuario, puede utilizar este acceso para redirigir el tráfico de un usuario mediante suplantación de DNS, ver cualquier dato no cifrado enviado a través de la red o utilizar la inspección profunda de paquetes para descifrar datos cifrados. Los datos obtenidos pueden utilizarse para ataques de ingeniería social con el fin de convencer al usuario de que apruebe transacciones o comparta sus claves privadas.
Zyxel ha proporcionado una lista de los dispositivos potencialmente afectados, que incluye el NWA50AX PRO, NWA90AX, WAC500 y otros puntos de acceso, así como el enrutador USG LITE 60AX. El fabricante recomendó a los usuarios de estos dispositivos que actualizaran su firmware.
El explotador de Penpie creó un Pendle Market falso
El exploit Penpie de 27 millones de dólares fue posible gracias a una falla que permitía a cualquier usuario crear un mercado Pendle, según un informe del 4 de septiembre de la empresa de seguridad blockchain Zokyo. El informe afirma que Zokyo auditó una versión anterior del protocolo, pero que en ese momento no contenía la falla.
Según el informe, Penpie contiene una función llamada registerPenpiePool que se puede utilizar para registrar una nueva dirección de pool y un Pendle Market. Para evitar que se registren mercados maliciosos, contiene un modificador que comprueba si el Pendle Market ya está incluido en el contrato de fábrica de Pendle Finances. Si no está incluido en este contrato de fábrica, no se puede registrar. Sin embargo, cualquier usuario puede incluir su mercado en el contrato de fábrica llamando a la función createNewMarket en el contrato de fábrica. Según el informe, esto significa básicamente que cualquier usuario puede crear un Pendle Market y registrarlo.
El atacante aprovechó esta vulnerabilidad para crear un mercado y un grupo de Pendle falsos, que se configuraron para proporcionar valiosos tokens Pendle como recompensa.
Función createNewMarket de Pendle Finance. Fuente: Zokyo.
El protocolo también contenía una falla de reentrada que permitía a cualquier mercado depositar tokens repetidamente y antes de que se pudieran actualizar otros saldos. El atacante invocaba la función de depósito una y otra vez, inflando artificialmente las recompensas que se obtendrían. Luego retiraba el depósito y reclamaba las recompensas, lo que le quitaba al protocolo más de 27 millones de dólares.
Según el informe, la falla de reentrada existía en la versión que Zokyo auditó. Pero en esa versión, solo el equipo de protocolo habría podido registrar un nuevo pool y mercado, lo que debería haber impedido que un atacante externo hiciera uso de ella. El informe afirma:
No se esperaba que el parámetro _market recibido en el método batchHarvestMarketRewards(…) fuera malicioso ya que en la versión anterior del código auditado por Zokyo, solo el propietario (multi-sig) puede registrar un grupo.
En un informe independiente publicado el 3 de septiembre, el equipo de Penpie afirmó que introdujo el registro de pools sin permiso aproximadamente un año después de que Zokyo realizara su auditoría. En ese momento, contrató a la empresa de seguridad AstraSec para auditar el nuevo sistema de registro. Sin embargo, solo los nuevos contratos estaban dentro del alcance de esta auditoría. Dado que el exploit resultó de una interacción entre dos contratos diferentes auditados por dos equipos diferentes, ninguno de ellos detectó la vulnerabilidad. Penpie afirmó que realizará auditorías periódicas de todo el protocolo en el futuro para asegurarse de que incidentes como este no vuelvan a ocurrir.
Penpie es un protocolo de finanzas descentralizadas que intenta ofrecer un aumento de rendimiento a los usuarios de Pendle Finance. El ataque contra él ocurrió el 3 de septiembre.
