Protocolo lanzado en red Base de Coinbase sufre hack por 472 ETH: sospechan de rug pull

La comunidad cripto ha arremetido contra el equipo de RocketSwap después de que se tomó un 472 Ethereum (ETH) luego de un compromiso de clave privada.

Coinbase Base atrajo el entusiasmo de muchos desarrolladores y usuarios cuando debutó. El protocolo de Capa 2 se lanzó con más de 100 aplicaciones descentralizadas (dApps), pero en una semana, los proyectos se están convirtiendo en el objetivo favorito de los estafadores.

RocketSwap deshabilita los comentarios y Telegram, tras exploit

Según la firma de seguridad Web 3.0 Beosin, los hackers robaron más de 472 ETH (aproximadamente 869,000 dólares) del exchange descentralizado (DEX) RocketSwap.

Los explotadores accedieron a los fondos a través de un compromiso en las claves privadas. Luego conectaron los tokens a Ethereum a través del puente Stargate. La siguiente captura de pantalla muestra el flujo de los fondos preparados por Beosin.

RocketSwap se disculpó con los usuarios por la pérdida y explicó:

“Se detectó un ataque de fuerza bruta al servidor y, debido al contrato de proxy utilizado para el contrato de la granja, hubo varios permisos de alto riesgo que llevaron a la transferencia de los activos de la granja.”

Además, el proyecto deshabilitó los comentarios en X (Twitter) y Telegram. El equipo enfrentó fuertes críticas de la comunidad por deshabilitar la comunicación después del exploit. Un usuario de X (Twitter) escribió:

“Probablemente la peor reacción de hack que he visto. Cierran Telegram y terminan el tuit con: Lamentamos mucho su pérdida. Como si no tuvieran nada que ver con eso.”

El valor total bloqueado (TVL) en RocketSwap se ha reducido en más del 25% en las últimas 24 horas. Según DefiLlama, el TVL actualmente se ubica en alrededor de 2.48 millones de dólares después de la fuerte caída.

Normas de seguridad irresponsables

Para proyectos Web 3.0, e incluso para particulares, el almacenamiento de claves privadas es la medida de seguridad más esencial. Idealmente, las claves privadas o las frases clave secretas deben almacenarse fuera de línea para minimizar las posibilidades de compromiso.

RocketSwap colocó las claves privadas en un servidor que condujo al compromiso. La mala medida de seguridad ha provocado críticas generalizadas de los miembros de la comunidad.

Algunos otros errores de seguridad de RocketSwap también han salido a la luz tras el reciente exploit. El 8 de agosto, un miembro de la comunidad compartió capturas de pantalla de publicaciones eliminadas de RocketSwap, que mostraban al equipo admitiendo haber transferido 69,000 dólares en tokens nativos (RCKT) a estafadores.

Los estafadores, disfrazados de miembros del equipo de KuCoin, afirmaron que querían enumerar los tokens RCKT y le pidieron al equipo que enviara tokens para la creación del mercado de liquidez.

El equipo de RocketSwap se dio cuenta de que habían sido estafados debido a la venta masiva después de enviar los tokens. El miembro de la comunidad Dashen De Silva cree que el equipo vendió tokens para su beneficio y usó una “narrativa fabricada como tapadera”.

¿Un rug pull?

Con dos incidentes consecutivos dentro de los ocho días, la comunidad sospecha que el equipo de RocketSwap podría haber realizado un rug pull.

Un usuario de X (Twitter), Forgiving, cree que RCKT era una “rug pull“. Cuestionaron el cambio del implementador en el proxy horas antes del exploit. perdonando escribió: “Probablemente fue una alfombra planeada premeditada”.

Los miembros de la comunidad sospechan aún más ya que RocketSwap detuvo el modo de comunicación. También hay acusaciones de que RocketSwap usó para falsificar los volúmenes.

Con el exploit RocketSwap, algunos miembros de la comunidad también señalan con el dedo a Coinbase Base debido a múltiples incidentes de robo/hack de incidentes.

El 1 de agosto, otro DEX en la red Base, LeetSwap, perdió 340 ETH (aproximadamente 600,000 dólares) debido a una función vulnerable en el smart contract. Simultáneamente, un estafador desplegó una criptomoneda meme BALD en la red de Base y luego eliminó la liquidez, realizando una recaudación de más de 23 millones de dólares.

Después de estos incidentes, un miembro de la comunidad escribió:

“El verano de cadena base se convirtió en verano de alfombra dura base. Bald, leetswap, Rocketswap y alrededor del 99% de los contratos se hacen en la base”.

El 9 de agosto, Coinbase lanzó la red principal de su base de protocolo de Capa 2. En 24 horas, la red registró más de 136,000 usuarios activos diarios.