El atacante de la red PAID obtiene 3 millones de dólares en un ataque de emisión infinita

Paid Network, una plataforma de DeFi dirigida a empresas del mundo real, ha sido vulnerada el día hoy en un ataque de “emisión infinita” que ha provocado que los precios de los tokens PAID caigan más del 85%.

Si bien el incidente generó casi USD 180 millones en tokens PAID en el momento que se llevó a cabo el ataque, lo que habría sido la mayor vulneración de un protocolo DeFi, el botín del hacker acabará siendo mucho menor. Un observador señaló que la billetera del atacante sólo convirtió algunos de sus tokens en Wrapped Ether, dejando el resto en tokens PAID que se devalúan rápidamente: 

Summary of $PAID incident:

Total PAID swapped to WETH: 2079.603371141493
= $3,104,887.33

Total PAID left in account: 594,717,455.71
= $24,313,147

Total amount in attacker account = $27,418,034.33

Stay Safe. pic.twitter.com/Lz93qGKAq0

— vasa (@vasa_develop) March 5, 2021

Resumen del incidente de PAID:

Total de PAID cambiados a WETH: 2079,603371141493
= USD 3,104,887.33

Total de PAID que queda en la cuenta: 594,717,455.71
= USD 24,313,147

Cantidad total en la cuenta del atacante = USD 27,418,034.33

Manténganse a salvo.

La billetera del atacante todavía tiene más de 57 millones de tokens PAID por un valor de USD 37 millones.

El incidente es conceptualmente similar a un ataque al protocolo de seguros Cover que tuvo lugar a finales de diciembre del año pasado. En ese caso, el equipo tomó una “instantánea” de los poseedores antes del ataque y emitió un nuevo token, devolviendo el suministro del token a los niveles previos al ataque.

El equipo confirmó en Twitter que actualmente están planeando una instantánea y restauración:

We are investigating the issue. We pulled liquidity, are creating a new smart contract, & will be restoring everyone’s original balances to before the hack.

Those with staked, Lpool & UniFarm $PAID will have their tokens be sent to them manually.

We will share more updates soon

— PAID NETWORK (@paid_network) March 5, 2021

Estamos investigando el problema. Hemos retirado la liquidez, estamos creando un nuevo contrato inteligente y restableceremos los saldos originales de todo el mundo antes del ataque.

Aquellos con stake, Lpool y UniFarm $PAID tendrán sus tokens enviados manualmente.

Compartiremos más actualizaciones pronto

Sin embargo, los poseedores de tokens ansiosos por una resolución pueden no tener suerte. Algunos en la comunidad están especulando que el ataque a PAID no fue un exploit en absoluto, sino un “rugpull”, un término coloquial para designar a una persona con información privilegiada que diseña contratos para hacerlos específicamente vulnerables y robar los fondos de los usuarios.

Nick Chong, de Parafi Capital, señaló en Twitter que el contrato de despliegue de Paid, una cuenta controlada externamente, transfirió la propiedad del desplegador al atacante poco antes de la emisión de nuevos tokes, lo que indica que un miembro del equipo hizo el “rugpull” o permitió que el ataque consiguiera entrar con una falla de seguridad:

Paid Network’s deployer, an EOA, transferred ownership of a contract to the attacker 30 mins before the minthttps://t.co/h14GdV4fCf

— Nick Chong (@n2ckchong) March 5, 2021

El desplegador de Paid Network, un EOA, transfirió la propiedad de un contrato al atacante 30 minutos antes de la emisión

Además, una cuenta de análisis de riesgos de DeFi @WARONRUGS advirtió exactamente sobre esta vulnerabilidad a finales de enero, y señaló que el propietario del contrato puede emitir tokens PAID en cualquier momento:

❌ Scam Advisory #86- PAID Network $PAID (0x8c8687fC965593DFb2F0b4EAeFD55E9D8df348df)

Reason: The owner can mint tokens and did mint tokens to fresh wallets who never bought the presale. Contract is behind a proxy.

Likeliness of losing all funds: Very High

DYOR. #WARONRUGS❌ pic.twitter.com/YQunjpWuxY

— #WARONRUGS❌ (@WARONRUGS) January 25, 2021

Aviso de estafa #86- Red PAID PAID (0x8c8687fC965593DFb2F0b4EAeFD55E9D8df348df)

Razón: el propietario puede emitir tokens y ha emitido tokens a billeteras nuevas que nunca compraron la preventa. El contrato está detrás de un proxy.

Probabilidad de perder todos los fondos: muy alta

Una nota on-chain enviada al atacante advirtió siniestramente que “el LAPD se pondrá en contacto con Kyle Chasse muy pronto”. Kyle Chasse es el CEO de Paid Network.

Paid Network no respondió a una solicitud de comentarios al momento de la publicación de esta historia.

Sigue leyendo: