El puente Shibarium sufre un ataque de préstamo flash de $2.4 millones

El atacante obtuvo el control de dos tercios de los validadores al pedir prestados 4.6M BONE, drenando $2.4M en ETH y SHIB.

Se incautaron tokens KNINE por un valor de $700K, pero fueron bloqueados por K9 Finance DAO, impidiendo la liquidación.

Los desarrolladores pausaron el staking, aseguraron las claves de los validadores y solicitaron a Hexens, Seal 911 y PeckShield que realizaran la investigación.

El puente de Shibarium, que conecta la red de Capa 2 con Ethereum, fue vulnerado el viernes en un ataque de préstamo relámpago que drenó $2.4 millones en activos. Los desarrolladores del ecosistema de Shiba Inu dijeron que el incidente los obligó a detener el staking, unstaking y funciones relacionadas mientras se aseguraban las claves de los validadores.

Según los ingenieros del proyecto, el atacante tomó prestados 4.6 millones de tokens BONE a través de un préstamo flash y ganó temporalmente el control sobre el acceso a los validadores. Al controlar diez de las doce claves de firma de los validadores, el atacante aseguró una mayoría de dos tercios y redirigió fondos del contrato de puente. Los registros muestran que se retiraron 224.57 ETH y 92.6 mil millones de SHIB, valorados en aproximadamente $2.4 millones.

Impacto en Tokens y Operaciones de Validadores

Los desarrolladores confirmaron que los tokens BONE prestados fueron bloqueados de inmediato debido a retrasos en el staking, lo que impidió que el atacante mantuviera influencia. El precio de BONE inicialmente saltó a medida que aumentaba la actividad comercial, pero rápidamente disminuyó a medida que se difundía la noticia de la explotación.

El incidente también involucró el token de gobernanza de K9 Finance, KNINE. El atacante adquirió alrededor de $700,000 en KNINE, pero fue bloqueado para liquidar las tenencias. El DAO de K9 Finance incluyó la billetera en la lista negra, haciendo que esos tokens no pudieran venderse en el mercado abierto.

Medidas de Emergencia e Investigación

Tras la violación, los desarrolladores de Shiba Inu contrataron a empresas de seguridad externas, incluyendo Hexens, Seal 911 y PeckShield, para analizar la explotación. Los investigadores están revisando cómo se manipuló el acceso de los validadores y cómo las protecciones fallaron en prevenir retiros no autorizados.

Kaal Dhairya, un desarrollador senior en el sistema, dijo que la operación de préstamo flash se vio altamente estructurada y puede haber sido preparada con meses de anticipación. Confirmó que las agencias de aplicación de la ley fueron informadas del incidente. Los desarrolladores también indicaron una disposición para negociar con el atacante si se devuelven los fondos, incluida la posibilidad de una recompensa.

El incidente subraya los riesgos continuos que enfrentan los puentes entre cadenas y las estructuras de gobernanza basadas en validadores. En este caso, el control de las claves de los validadores permitió la ejecución rápida de retiros que abrumaron las defensas. Si bien las acciones inmediatas limitaron las pérdidas adicionales, la brecha demuestra vulnerabilidades que los atacantes continúan explotando en sistemas descentralizados. Los desarrolladores afirmaron que se están implementando medidas adicionales para salvaguardar el acceso de los validadores y prevenir ataques similares en el futuro. Las investigaciones continúan mientras la comunidad monitorea si los fondos robados se mueven a través de otras redes.