El 18 de octubre, Moola Market, una plataforma de préstamos criptográficos de tamaño decente, fue explotada mediante la manipulación de precios de su token nativo, MOO, que tiene una liquidez relativamente baja. Sin embargo, CELO, un ecosistema del que Moola Markets forma parte, no lo hace.
El exploit fue de naturaleza similar al reciente fiasco de Mango Markets, ya que el atacante usó el token nativo de una plataforma con baja liquidez para realizar una serie de intercambios inusuales que, aunque técnicamente no son ilegales, constituyen un abuso de la plataforma.
El precio de MOO aumentó un 6,400 %
Con el fin de generar un gran pago, el atacante compró MOO por un valor aproximado de $ 45, que luego se depositó como garantía para pedir prestado CELO de la plataforma. Nada fuera de lo común hasta ahora. Sin embargo, el atacante usó el CELO prestado para comprar más MOO.
Esta recursión alterna de comprar un token y usarlo como garantía para el otro se repitió varias veces. Si este esfuerzo se hubiera realizado con dos tokens de alta liquidez, los efectos en sus precios habrían sido insignificantes.
Sin embargo, dado que MOO es un token con muy poca liquidez, la cadena de bloques vio la compra constante de MOO como un interés repentino en el token, lo que elevó el precio en un asombroso 6,400 %. El equipo de Moola se dio cuenta rápidamente de la travesura.
Estamos investigando activamente un incidente en @Moola_Market. Toda la actividad en Moola ha sido pausada. No intercambie mTokens.
Al explotador, nos hemos puesto en contacto con las fuerzas del orden y hemos tomado medidas para dificultar la liquidación de los fondos. Estamos dispuestos a negociar un…
— Mercado Moola 🐮 (@Moola_Market) 18 de Octubre de 2022
Desafortunadamente, cuando se dieron cuenta de que el comerciante emprendedor mostraba una cantidad indebida de interés en el token, el atacante pudo manipular el precio de MOO lo suficientemente alto como para comprar un total de $ 1.2 millones en MOO, $ 740k CELO Euros ( cEUR), $644k CELO USD (cUSD) y $6.6 millones en CELO. En total, se tomaron prestados alrededor de $ 9.1 millones en fondos, a partir de un depósito inicial de $ 45k.
Volviendo a la pista
Una vez que los desarrolladores de Moola se dieron cuenta de los intercambios, se comunicaron de inmediato con el atacante a través de Twitter, prometiendo acciones legales si los fondos no se devolvían dentro de las 24 horas. Es importante tener en cuenta que la plataforma habría tenido un recurso legal limitado en caso de que el atacante se negara.
Sin embargo, las dos partes parecen haber llegado a un acuerdo con bastante rapidez.
“Después del incidente de hoy, el 93.1% de los fondos se han devuelto a la multi-sig de gobierno de Moola. Continuamos pausando toda la actividad en Moola y haremos un seguimiento con la comunidad sobre los próximos pasos y para reiniciar de manera segura las operaciones del protocolo Moola”.
Los $ 500k restantes parecen representar una recompensa por errores para el atacante emprendedor: una suma mucho menor de la que ganaron inicialmente, pero sin embargo, un retorno de más del 1,000% en su inversión original de $ 45k.
Binance Free $ 100 (Exclusivo): Use este enlace para registrarse y recibir $ 100 gratis y 10% de descuento en tarifas en Binance Futures el primer mes (términos).
Oferta especial PrimeXBT: Use este enlace para registrarse e ingresar el código POTATO50 para recibir hasta $7,000 en sus depósitos.
Fuente: https://cryptopotato.com/making-500k-in-a-day-moola-market-hacker-gets-a-bounty-and-returns-stolen-funds/