Vestra DAO parece haber sido hackeada. Los analistas en cadena detectaron actividad sospechosa: los tokens VSTR, el token ERC-20 nativo del protocolo, se movían desdetracinteligentes disponibles y se enviaban inmediatamente al mezclador Tornado.
Al momento de los informes, se habían robado tokens por un valor de al menos 480.000 dólares. Si bien el ataque inicial fue relativamente leve, el riesgo persistía para otros participantes. El investigador en cadena Chaofan Shou fue el primero en detectar el exploit y recomendó a todos los usuarios que retiraran sus permisos.
Vestra DAO @Vestra_DAO acaba de ser hackeada y sigue en curso. Ya ha perdido $480,000 y aún hay más por venir. Retire su participación y obtenga liquidez inmediatamente. pic.twitter.com/0b9i1lhrEw
– Chaofan Shou (@shoucccc) 4 de diciembre de 2024
El exploit afectó eltracde staking de tokens VSTR, y los fondos se liquidaron inmediatamente y se enviaron al mezclador Tornado. En el caso de VSTR, más del 65 % de los tokens están bloqueados para su gobernanza, con más de 34 000 millones de tokens.
inteligente afectadotraccontiene los 755 millones de tokens VSTR restantes, lo que representa el 1,51 % del suministro total. A pesar del ataque contra un token relativamente pequeño, la posterior caída del mercado eliminó aún más valor del proyecto. Por ahora, Vestra DAO podría tener suficientes VSTR en sus reservas para compensar a los usuarios, mientras intenta reparar el daño a su reputación.
El explotador esperó un mes antes de explotar una falla en la lógica deltrac
El abusador vendió apresuradamente, pagando 0,51 ETH a Beaverbuild por la inclusión prioritaria en un bloque. stakingtracEl contrato se vio afectado, enviando directamente tokens VSTR.
Durante horas, el explotador envió transacciones spam por 520 000 o 500 000 VSTR altrac, que finalmente sumaron un total de 480 000 $. El ataque aprovechó una falla lógica deltrac, lo que le permitió recibir 20 000 VSTR tras cada transacción.
El análisis en la cadena de bloques reveló que el atacante depositó VSTR en el contratotractractractractractractractractracPosteriormente, la serie automatizada de transacciones comenzó atracVSTR con cada iteración de depósito y retiro.
Las verificaciones de datos de cada depósito y retiro no generaron ninguna advertencia, lo que permitió al atacante agotar eltracen múltiples transacciones de depósito y retiro. Eltracsolo verificó el vencimiento una vez, pero el hacker había cumplido el requisito al realizar staking hace 30 días.
El resultado del exploit fue un botín de 125 ETH, que se mezclaron a través de Tornado Cash. El atacante gastó $40,000 en gas Ethereum para obtener los intercambios más rápidos posibles, convirtiéndose brevemente en el mayor consumidor de gas de la cadena.
Vestra DAO no ha revelado los detalles del ataque y afirma que los fondos de los usuarios no se vieron afectados. Sin embargo, eltracperdió sus tokens VSTR, lo que claramente restó valor al proyecto.
Los tokens VSTR fueron pirateados un mes después del lanzamiento comercial
Vestra DAO es un proyecto relativamente nuevo, cuyos tokens VSTR se comercializan desde el 6 de noviembre. El token solo está disponible en el par comercial Uniswap V3.
La DAO presentó su primera propuesta el 14 de octubre, la cual estaba vinculada a la venta de mil millones de tokens del tesoro del proyecto. El token VSTR aún cuenta con tan solo 1643 poseedores, lo que contribuye a la limitada repercusión del hackeo.
El token se desplomó tras el ataque, de 0,013 $ a 0,005 $. Posteriormente, VSTR subió ligeramente hasta los 0,009 $, pero sigue siendo extremadamente ilíquido y volátil. Además de la pérdida directa, VSTR también perdió la mitad de su capitalización bursátil.
En este punto, VSTR podría ser incluso más arriesgado que los tokens meme en su etapa inicial. El mayor riesgo reside en que los tokens VSTR solo tienen $1.9 millones en liquidez, la cual no está bloqueada y podría ser explotada mediante un intento de robo de identidad.
Otro riesgo para el proyecto es que sus contratostractractractractractractractractracgeneral advertencia en CoinGecko. Vestra DAO afirmó haber incluido en la lista negra su contrato de stakingtractractractractractractractractrac.
Incluso en proyectos auditados, lostracinteligentes pueden no ser siempre completamente seguros y presentar vulnerabilidades de seguridad. En el caso de VestraDAO, el proyecto en fase inicial podría recuperarse y aumentar su fiabilidad.
Vestra DAO atrajo a la comunidad cripto turca, uno de los grupos más activos de usuarios pioneros. El token VSTR incluso tenía un precio de conversión a liras turcas.
