ATLANTIS LOANS - REKT

ACTUALIZACIÓN: Casi una semana después del exploit inicial, se han drenado más fondos, elevando la pérdida total a $2.5 millones (como señaló Peckshield).

La ciudad perdida se hundió hace mucho tiempo.

Ahora, los antiguos usuarios han sido despojados, por un total de aproximadamente $1M.

Atlantis Loans era un protocolo de préstamos en BSC, antes de ser abandonado por los desarrolladores a principios de abril.

Los usuarios fueron informados a través de una publicación en Medium en la que el equipo de desarrollo dijo que no podían permitirse seguir manteniendo la plataforma. Añadieron:

creemos que interrumpir nuestros servicios es lo mejor para nuestros usuarios y la protección de sus fondos.

Sin embargo, el protocolo permaneció activo, incluso la interfaz de usuario se pagó por adelantado por dos años. Como se indicó en la publicación:

la única forma de realizar cambios o desactivar las cosas tendría que ser a través de la gobernanza.

¿Premonición?

Crédito: Beosin, Numen Cyber

El ataque fue intentado el 12 de abril, pero no logró pasar. Con el proyecto abandonado, se prestó poca atención a la reciente propuesta 52 publicada el 7 de junio.

El atacante impulsó y votó a favor de una propuesta de gobernanza que les otorgaba control sobre los contratos de tokens de Atlantis Loans. Luego actualizaron con sus propios contratos maliciosos, permitiéndoles transferir tokens desde cualquier dirección que aún tuviera aprobaciones activas a los contratos de Atlantis.

Para un desglose completo de cómo se ejecutó la propuesta, vea el hilo de Numen Cyber.

Lista completa de contratos para revocar aprobaciones.

Dirección del atacante: 0xEADe071FF23bceF312deC938eCE29f7da62CF45b

El atacante fue inicialmente financiado por Binance en ETH.

Los ataques de gobernanza pueden variar en su alcance y efectos.

El mes pasado, vimos cómo el sistema de gobernanza de Tornado Cash fue secuestrado por un atacante que introdujo código en lo que se suponía que era una propuesta segura.

El año pasado, Beanstalk fue atacado por $181M en un ataque de gobernanza habilitado por préstamos flash, posible por la falta de retraso en la ejecución de la propuesta.

Y en marzo, Swerve, un clon abandonado de Curve, fue (sin éxito) objetivo a través de la gobernanza. La propuesta habría transferido $1.3M restantes en el pool de liquidez DAI-USDC-USDT a la dirección del atacante, pero no lograron reunir suficientes tokens para forzar la votación.

El caso de esta semana no solo sirve como un recordatorio para revocar las aprobaciones antiguas de tokens, sino que también resalta la importancia de monitorear cuidadosamente los procesos de gobernanza, incluso en proyectos inactivos.

Para Atlantis, parece que es momento de volver a las profundidades turbias...

...esta vez, para siempre.

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.