Dmitri Tsumak, fundador de la plataforma de participación ETH 2.0 StakeWise, descubrió una vulnerabilidad grave que afectaba a los competidores de staking de ETH, Rocket Pool y Lido. El exploit ahora ha sido parcheado, con Rocket Pool y Lido cada uno pagando a Tsumak una recompensa por error de $100.000 por identificar el problema.
Error de Ethereum Staking Pool parcheado
Una vulnerabilidad que afecta a los fondos en los grupos de staking ETH 2.0 se ha parcheado de forma segura.
A última hora de la noche del lunes, el fundador de StakeWise, Dmitri Tsumak, descubrió un exploit que permitiría a los operadores de nodos eliminar fondos de los grupos de participación líquida ETH 2.0. Tsumak identificó inicialmente el exploit en la arquitectura del protocolo de participación ETH, que se lanzará pronto, Rocket Pool. Bajo más investigación, también se encontró que el error afectaba a Lido , el grupo de staking ETH 2.0 más grande actual en Ethereum, con un valor total bloqueado de $4.66 mil millones.
1/ Last night around 7PM UTC, our founder Dmitri Tsumak (@tsudmi) discovered a severe vulnerability in @Rocket_Pool that could lead to the theft of users’ funds if exploited.
— StakeWise (@stakewise_io) October 5, 2021
Upon further examination, it became apparent that @LidoFinance's architecture was also affected. https://t.co/xlpZMYkFMe
Aunque los operadores de nodos elegidos por Rocket Pool y Lido son confiables, el exploit destaca una vulnerabilidad crítica en la arquitectura de contrato inteligente que rige los protocolos. Mientras el error estaba activo, alrededor de 100 ETH de los fondos de los usuarios estaban en riesgo.
Después de que Tsumak informó el error usando un alias, el equipo de Rocket Pool informó rápidamente a Lido que los fondos en su protocolo también estaban en riesgo. A la mañana siguiente, ambos protocolos habían tomado medidas para garantizar la seguridad de los fondos de sus usuarios.
El error se identificó solo 24 horas antes de que Rocket Pool comenzara a funcionar en la red principal de Ethereum; el lanzamiento ahora se ha pospuesto.
Rocket Pool y Lido han implementado parches temporales para asegurar los fondos de los usuarios, pero el problema aún no se ha solucionado por completo. Ambos protocolos han establecido un curso de acción y actualmente están trabajando hacia una solución más permanente al exploit.
Una vez que se resolvió el incidente, las partes involucradas recurrieron a las redes sociales para informar a sus respectivas comunidades sobre lo sucedido. Rocket Pool extendió su gratitud a Tsumak por informar del error, a pesar de ser el fundador del rival de Rocket Pool, StakeWise.
En Twitter, StakeWise abordó por qué había decidido hacer pública la información del exploit una vez que se había parcheado, indicando:
“En StakeWise, creemos que incluso cuando tratamos con nuestros competidores, cuanto más seguros estamos colectivamente, más fuerte se vuelve todo el ecosistema de apuestas #ETH2. Para lograrlo, debemos comunicarnos y cuidarnos las espaldas”.
Tanto Rocket Pool como Lido han acordado pagarle a Tsumak $100.000 por identificar el problema, la cantidad máxima detallada en el programa de recompensas por errores de Lido.
Si bien las vulnerabilidades en los protocolos DeFi no son infrecuentes, a menudo se identifican antes de que los piratas informáticos puedan explotarlas. En agosto, Samzcsun de Paradigm.xyz detectó una vulnerabilidad de 350 millones de dólares en los contratos inteligentes MISO de SushiSwap. El exploit se identificó y solucionó antes de que los piratas informáticos pudieran tomar fondos. El equipo de Sushi le pagó a Samzcsun una recompensa de $1 millón de dólares estadounidenses por su ayuda para identificar y corregir el error.
