QuickSwap es uno de los exchanges descentralizados (DEX) más importantes de Polygon, solución de capa 2 de la red de Ethereum.
A mediados de octubre, Chainalysis compartió su informe detallando que, este mes, ha sido el que más hackeos cripto han ocurrido en la historia. Al momento de su publicación, 718 millones de dólares habían sido robados.
Una semana antes del comienzo de noviembre, QuickSwap, el exchange descentralizado (DEX) de la red de Polygon, tuiteó que 220 mil dólares fueron robados de la plataforma. Como indicaron, el exploit usó la opción de préstamos flash para atacar una vulnerabilidad con el Oráculo de Curve.
QuickSwap Lend is closing$220k was exploited in a flash loans attack due to a vulnerability with the Curve Oracle (NYSE:ORCL), which @marketxyz was using Only the Market XYZ lending market was compromised. QuickSwap's contracts are unaffected1/3 pic.twitter.com/oWNz7BAujT— QuickSwap (@QuickswapDEX) October 24, 2022
En el mismo hilo de Twitter (NYSE:TWTR), se detalló que solo el mercado de préstamos XYZ fue comprometido, cuyos fondos iniciales pertenecen a QiDaoProtocol.
“Animamos a los usuarios con fondos depositados en los mercados abiertos de Market xyz en QuickSwap a que los retiren ahora, ya que estamos en proceso de cerrarlos”.
Desde QuickSwap manifestaron que esperan compensar plenamente a Qi Dao por sus pérdidas. Sin embargo, horas después, dicha Organización Autónoma Descentralizada aclaracó que tanto sus contratos y fondos están seguros, pues utiliza los oráculos de Chainlink y no de Curve.
Following the report from @peckshield we’ve seen some suspicious transactions within a @market_xyz @QuickswapDEX marketThis is NOT related to QiDao contracts and funds on https://t.co/mbwKhyC1f7 are safe.We are monitoring the situation. Please keep an eye for official updates https://t.co/OkYfKnTFhY— Qi Dao (@QiDaoProtocol) October 23, 2022
La versión de PeckShield
Para la firma de seguridad PeckShield, lo que realmente sucedió fue una manipulación en el mercado miMATIC, que utiliza CurvePoolOracle, para manipular y tomar los fondos.
It is a price manipulation issue. The miMATIC market uses CurvePoolOracle for price feed, which is manipulated to borrow funds from the market https://t.co/kDv10Zp2nz @market_xyz @QuickswapDEX @QiDaoProtocol https://t.co/muXdhubeJD pic.twitter.com/l5uWb5ynQQ— PeckShield Inc. (@peckshield) October 24, 2022
Además, compartió una nota en el que detallaron este tipo de exploit, publicada en abril de 2022.
“El 14 de abril, informamos a Curve y a los proyectos afectados sobre una vulnerabilidad de reentrada de sólo lectura en algunos pools de Curve. Más concretamente, el valor de la función get_virtual_price puede manipularse mediante la reentrada durante la eliminación de la liquidez”.
Al final de la nota, remarcan que la hora de desarrollar contratos inteligentes, hay que tener en cuenta las integraciones. “Aunque el futuro es imprevisible, algunos mecanismos de protección podrían ayudar en cualquier caso”.
De momento, los usuarios aún esperan mayores respuestas por parte de QuickSwap, que se suma a la negra lista de hacks. Así, el 2022 sigue su camino para convertirse en el año con más hackeos cripto de la historia.
El post El exchange descentralizado QuickSwap sufre un exploit de $220 mil fue visto por primera vez en BeInCrypto.