Un ataque al exchange perpetuo descentralizado, Level Finance, en la BNB chain resultó en el robo de más de $1 millón de dólares del token nativo del exchange, LVL.
En un comunicado del 1 de mayo, la plataforma descentralizada reconoció el evento e informó a sus seguidores en Twitter que se habían robado más de 214,000 tokens LVL del exchange y se habían intercambiado por 3,345 Binance coins (BNB), que en ese momento tenían un valor estimado de $1,500,000.
An exploit targeted our Referral Controller Contract.
– 214k LVL tokens drained to exploiters address.
– Attacker swapped LVL to 3,345 BNB
– Exploit was isolated from other contracts.
– Fix to be deployed in 12 Hrs.
– LP's and DAO treasury UNAFFECTED.More details to follow.
— LEVEL Finance #RealYield (@Level__Finance) May 1, 2023
Aunque según su breve declaración en Twitter, el ataque fue aislado de otros contratos por lo que los pools de liquidez y el tesoro de la organización autónoma descentralizada (DAO) no se vieron afectados, el atacante aún pudo intercambiar los tokens LVL robados por 3,345 monedas Binance (BNB).
LEVEL FINANCE ABORDA EL PROBLEMA
Continuaron diciendo que la solución se implementaría dentro de las 12 horas posteriores a su declaración, mientras aconsejaban a los usuarios del exchange que se prepararan para una revisión completa posterior al evento.
Además, la empresa de seguridad de blockchain Peckshield dijo que el contrato inteligente «LevelReferralControllerV2» de Level Finance tenía un error que permitía «reclamaciones de referencia repetidas» en el mismo período.
Según ciertas fuentes en la comunidad de CoinMarketCap, el hacker supuestamente estableció un contrato no confirmado hace una semana y está extrayendo tokens LVL progresivamente en unidades de 15,000 a través de la función delegada, De.Fi Web3 Antivirus en Twitter también lo confirmó. Asimismo, afirmaron que Tornado Cash, un conocido proveedor de servicios de mezcla de criptomonedas, fue de donde vino la financiación del atacante.
🚨 @Level__Finance is UNDER THE ATTACK! 🚨
• An attacker created an unverified contract 7 days ago;
• Using contract's delegate function, attacker is now withdrawing $LVL tokens. pic.twitter.com/UJdM8fO6dj
— De.Fi 🛡️ Web3 Antivirus (@DeDotFiSecurity) May 1, 2023
SE DESTACA LA IMPORTANCIA DE LA REVISIÓN Y PRUEBA DEL CÓDIGO
Antes de implementar un contrato inteligente, algunos usuarios de Twitter destacan la importancia de que los desarrolladores realicen auditorías con frecuencia y exhaustividad, ya que ayuda a encontrar y abordar problemas. Sin embargo, argumentan que no todos los desarrolladores hacen esto, lo que puede dar lugar a errores que pasan desapercibidos.
Muchos miembros de la comunidad enfatizan la importancia de la revisión y prueba exhaustiva del código al afirmar que es posible que este error hubiera sido descubierto con una auditoría adecuada. Para evitar que estos errores pasen desapercibidos, los desarrolladores deben dar prioridad a la revisión y prueba del código. El uso de procedimientos de auditoría estandarizados también puede elevar el nivel general del desarrollo de software.
Desde el trágico evento, el valor del token LVL ha disminuido drásticamente. En el momento de la publicación, el precio del token de Level Finance en CoinMarketCap era de $7.33, una disminución del 16.83% respecto al día anterior.
Ha habido otros casos en los que errores en contratos inteligentes han dado lugar a pérdidas considerables antes del evento de Level Finance. Se ve destacada la necesidad de mejores medidas de seguridad y procedimientos de gestión de riesgos en el sector DeFi debido a una serie de casos similares que han ocurrido en los últimos años.
