XToken - REKT

xToken - REKT

lee este artículo en:

en - es - fr - ru - zh

Los X-ploiters viven entre nosotros.

Una subespecie de usuarios crypto ha desarrollado habilidades sobrehumanas que les permiten atravesar huecos en los smart contracts o moldearlos a su gusto con la ayuda de flash loans y arbitraje.

Nadie está totalmente a salvo del equipo anónimo.

Sin embargo, rekt.news está aquí para ayudar, archivando las historias de los X-ploiters infames para que nuestros lectores puedan aprender y futuras generaciones sean protegidas de sus ataques brutales.

Esto no fue ningún atajo - XToken es un protocolo de calidad con fuertes colaboraciones. Hacks como este nos recuerdan que incluso los “blue chips” no son totalmente seguros.

¿Qué salió mal?

Crédito: 0xdeadfce & Frankresearcher

Transacción del Exploit

xToken.Market, un protocolo descentralizado de inversión pasiva, fue explotado con el uso de flash loans.

Por encima de $24 millones fueron robados de las pools de liquidez yield-bearing de SNX (xSNXa) y BNT (xBNTa).

At 15:14 UTC X-Token publicó la siguiente advertencia.

La acuñación en todos los contratos ha sido pausada mientras investigamos los reportes.

La comunidad nos alertó del tweet de X-Token en cuestión de minutos.

Un segundo tweet explicó que:

Los contratos de xSNXa y xBNTa han sido explotados. La acuñación se encuentra pausada en todos los contratos mientras seguimos investigando.

Las pools de liquidez han sido vaciadas, no obstante la mayoría de SNX y BNT siguen en contratos de xToken.

El agresor utilizó un flash loan de DyDx por 61,833 ETH (~$267M) y una transacción privada usando Flashbots MEV para facilitar el ataque.

Fondos perdidos:

  • 2.4k ETH ($10.3M)
  • 781k BNT ($6.2M)
  • 407k SNX ($8M)
  • 1.9B xBNTa

Todos los tokens aparte del xBNTa ya han sido vendidos por ~5.6k ETH a través de 1inch.

1: El hacker tomó en préstamo 61.8k ETH flash loan en dYdX.

2: Depositó 10k ETH para tomar en préstamo 564k SNX en Aave y canjeó 5.5k ETH por 700k SNX en SushiSwap.

3: Vendió 1.2M SNX por 818 ETH en Uniswap v2, reduciendo significativamente el precio de SNX.

4: Usó solo 0.12 ETH para acuñar 1.2B xSNXa, porque el protocolo compra SNX a través de Kyber, quien a cambio utilizó Uniswap v2 para este canje.

5: Sin embargo, dentro del protocolo, el precio de xSNXa resultó ser normal, lo que hizo posible el canje de 105M xSNX por 414 ETH.

6: Después de eso, el agresor comenzó a realizar canjes en reversa en SushiSwap y Uniswap y devolvió sus préstamos en Aave.

7: Luego también comenzó a vender el xSNXa existente a la pool SNX/ETH/xSNXa (25/25/50) de Balancer.

8: Devolvió el flash loan a dYdX.

9: Emitió xBNTa cuatro veces por 0.03 ETH, lo que ultimadamente le dio 3.9B xBNTa.

10: Canjeó la mitad del xBNTa por 781k BNT.

Otros $24 millones se han ido, y la única cosa inusual son los nombres involucrados.

No estamos acostumbrados a ver a nuestros bebés blue chip envueltos en tanta violencia.

Tal vez esa etiqueta otorga una falsa sensación de seguridad, incluso los protocolos que han sobrevivido más tiempo aún son increíblemente nuevos cuando consideras el largo plazo.

Una nueva entrada en nuestro leaderboard para XToken mientras toman la posición número 9, pero es la cuarta vez para su auditor de seguridad Peckshield, volviéndolos el auditor más rekt en el rekt.news leaderboard.

Pero aún así, quizás un botín de $24 millones vale otro spot en el leaderboard

¿Vino este ataque desde adentro?

Tal vez nunca lo sepamos, pero siempre nos lo preguntaremos.

compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.

te podría gustar...

X-Token - REKT X2

xToken - REKT

X-token X2 - El Regreso del X-ploiter. ~$4.5 millones robados de su contrato xSNX. Una secuela usualmente lleva a una serie. ¿Los X-ploiters intentarán lograr una trilogía?

MÁS

Tornado Cash Governance - REKT

Tornado Cash - Governance - REKT

Los Cypherpunks se esfuerzan por volverse ingobernables, pero no así. La gobernanza de Tornado Cash ha sido tomado como rehén a través de una propuesta caballo de Troya. Pero ahora el hacker propone revertir los efectos de su exploit. Con suerte, todo esto resultará ser nada más que una tormenta en un vaso de agua.

MÁS

Swaprum - REKT

Swaprum - Arbitrum - Rugpull - REKT

Swaprum, un DEX implementado en Arbitrum, hizo un rugpull con $3M el jueves. Certik, el auditor del proyecto, ha actualizado la puntuación de seguridad de Swaprum a "Exit Scam". ¿Demasiado poco y demasiado tarde?

MÁS