Un suceso extraño y positivo ocurrió esta semana en el cripto, donde un usuario recuperó sus fondos tras perder 100 ETH debido a un error en su monedero.
La recuperación se debe a la acción del equipo de Safe Wallet y la previsión de los desarrolladores de sombrero blanco en Protofire.
100 ETH perdidos por un error en el monedero son recuperados en un impresionante rescate
El incidente se desarrolló cuando el usuario de Ethereum de larga data khalo_0x en X (Twitter) intentó puentear 100 ETH desde la mainnet de Ethereum a la blockchain Base. Para ello, utilizó la interfaz oficial de Safe Wallet Bridge.
A las tasas actuales, con ETH negociado a 2.635 dólares al momento de escribir esto, esta transferencia valía más de 263,500 dólares.
Sin que él lo supiera, un error crítico de experiencia de usuario dentro de la herramienta de puente permitió la transferencia a un monedero de contrato inteligente que parecía ser suyo. Sin embargo, este monedero estaba controlado por una entidad diferente.
La raíz del problema estaba en el uso de Khalo de una versión desactualizada de Safe (v1.1.1), desplegada en 2020. Esta versión antigua precedía las consideraciones multi-chain y carecía de protecciones que ahora son estándar en versiones más nuevas.
Como resultado, un atacante, o eso parecía inicialmente, había desplegado previamente una copia de la dirección del monedero de Khalo en Base, pero con una configuración de propietario diferente. Con esto, efectivamente secuestraron los fondos tan pronto como fueron puenteados.
“Perdí mis ahorros de toda la vida en un clic usando Safe anoche. Eso después de 8 años de mantener ETH y evitar estafas. Un error de UX dentro de la función oficial de Bridge implicaba que la dirección de destino era mi Safe en Base. No lo era,” lamentó Khalo en una publicación.
El tweet atrajo la atención de la comunidad cripto, incluido el equipo de Safe. El constructor Tschubotz.eth investigó y descubrió que la dirección de Base que controlaba el ETH puenteado no era maliciosa después de todo.
Versión desactualizada del monedero abrió la puerta a un exploit cross-chain
En cambio, había sido desplegada por Protofire, una firma de desarrollo de sombrero blanco que había desplegado proactivamente cientos de monederos Safe v1.1.1 en Base para evitar que actores maliciosos lo hicieran.
“A diferencia de las EOA (Cuentas de Propiedad Externa), las cuentas inteligentes como Safe están gobernadas por el código de contrato inteligente desplegado. Es técnicamente posible desplegar una cuenta inteligente con la misma configuración de despliegue (mismos firmantes) en diferentes blockchains en la misma dirección (usando despliegue contrafactual)… Pero este caso era diferente… La versión de la cuenta inteligente de entonces (v1.1.1.) aún no estaba escrita con multi-chain en mente, por lo que era posible que cualquiera desplegara una cuenta inteligente en una blockchain diferente con una configuración completamente diferente en la misma dirección,” explicó Lukas Schor, cofundador de Safe, en una publicación.
Tras verificar la identidad de Khalo, Protofire devolvió rápidamente los 100 ETH completos. Una transferencia completa exitosa siguió a una transacción de prueba, resolviendo la crisis solo unas horas después de que comenzara.
“Esta es una de las historias de cripto más geniales que he visto en un tiempo,” dijo Haseeb Qureshi, Socio Director en Dragonfly.
El incidente destaca la necesidad urgente de mejores salvaguardas para los usuarios a medida que los monederos cripto avanzan en ecosistemas multi-chain. La versión actualizada de Safe v1.2.0 ahora incluye protecciones contra este tipo de exploit al cambiar cómo se calcula la sal CREATE2 durante el despliegue del contrato.
La herramienta de puente también ha sido mejorada para emitir advertencias si existe código de contrato inteligente conflictivo en la dirección de destino.
Aún así, el incidente es un recordatorio sobrio de que los usuarios siguen siendo vulnerables a errores sutiles y no obvios.
“…todavía estamos en un punto donde se espera que los usuarios realicen transacciones de prueba antes de mover fondos más grandes.,” agregó Schor.
A pesar del trauma inicial, la historia de Khalo terminó con sus fondos restaurados.
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
