Pagar con
USD
Compra y venta
Hot
Compra y vende criptomonedas a travésde Apple Pay, tarjetas, Google Pay, transferencias bancarias y más
P2P
0 Fees
¡Cero tarifas, más de 400 opciones de pago y compra y venta de criptomonedas sin complicaciones!
Gate Card
Tarjeta de pago con criptomonedas que permite efectuar transacciones internacionales fácilmente
Básico
Spot
Opera con criptomonedas libremente
Margen
Multiplica tus beneficios con el apalancamiento
Convertir e Inversión automática
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
ETF
Obtén exposición a posiciones apalancadas de forma sencilla
Premercado
Opera con nuevos tokens antes de que selisten oficialmente
Avanzado
DEX
Opera on-chain con Gate Wallet
Alpha
Puntos
Consigue tokens prometedores en operaciones on-chain simplificadas
Bots
Trading con un solo clic y estrategias inteligentes autoejecutables
Copiar
Join for $500
Haz crecer tu riqueza siguiendo a los traders top
Trading CrossEx
Beta
Un solo saldo de margen compartido entre plataformas
Futuros
Cientos de contratos liquidados en USDT o BTC
TradFi
Oro
Opera con activos tradicionales globales con USDT en un solo lugar
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Comienzo del trading de futuros
Prepárate para operar con futuros
Eventos futuros
Participa en eventos para ganar generosas recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Launchpad
Anticípate a los demás en el próximo gran proyecto de tokens
Puntos Alpha
¡Opera con activos on-chain y recibe recompensas por airdrop!
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Compra a la baja y vende al alza para aprovechar las fluctuaciones de los precios
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
La gestión patrimonial personalizada potencia el crecimiento de tus activos
Gestión patrimonial privada
Gestión de activos personalizada para hacer crecer sus activos digitales
Quant Fund
El mejor equipo de gestión de activos te ayuda a obtener beneficios sin complicaciones
Staking
Haz staking de criptomonedas para ganar en productos PoS
Apalancamiento inteligente
New
Sin liquidación forzosa antes del vencimiento, ganancias apalancadas sin preocupaciones
Acuñación de GUSD
Usa USDT/USDC para acuñar GUSD y obtener rendimientos a nivel tesorería
7.4 millones de dólares desaparecen en un instante, ¿qué tan peligroso es la vulnerabilidad de reentrada en el protocolo Arbitrum?
FutureSwap en Arbitrum vuelve a ser atacado. Según las últimas noticias, la empresa de seguridad blockchain BlockSec Phalcon detectó que este protocolo de minería de liquidez fue robado por un proceso cuidadosamente diseñado en dos pasos, por un valor aproximado de 74,000 dólares. Esta vez no se trató de un ataque de flash loan convencional ni de un simple error de parámetros, sino de una vulnerabilidad clásica pero peligrosa de reentrada. Lo que es aún más preocupante es que esto refleja una tendencia de frecuentes problemas de seguridad en el ecosistema DeFi.
Cómo ocurrió el ataque
La vulnerabilidad de reentrada suena compleja, pero en realidad es un juego de diferencia de tiempo. El atacante aprovechó un “vacío” en la ejecución del contrato inteligente.
El proceso de FutureSwap es así: el usuario deposita activos para obtener tokens LP, y luego puede retirarlos. Pero FutureSwap estableció un período de enfriamiento de 3 días para evitar entradas y salidas rápidas. El atacante encontró aquí su punto de entrada.
La sutileza del proceso en dos pasos
Primer paso: ataque de reentrada en la fase de acuñación
El atacante, al proporcionar liquidez, aprovechó una vulnerabilidad en la función 0x5308fcb1. La clave está en que esta función permite que el código externo vuelva a entrar antes de que se actualicen las cuentas internas del contrato. El atacante, al no dejar que el contrato registre aún la cantidad real de activos depositados, volvió a entrar en la misma función, resultando en que acuñó tokens LP mucho más allá de la proporción de los activos depositados realmente.
En términos simples, depositó 100 unidades, pero mediante la vulnerabilidad de reentrada, obtuvo tokens LP equivalentes a 1000 unidades. Esto es el primer paso de “robar sin tener nada”.
Segundo paso: evitar restricciones en la fase de retiro
Pero esto no fue suficiente. El período de enfriamiento de 3 días de FutureSwap estaba diseñado para prevenir este tipo de situaciones. El atacante esperó los 3 días y luego realizó el retiro. Quemó los tokens LP falsificados y recuperó la garantía real. Como resultado, cambió tokens LP falsos por activos reales.
Así se completó toda la operación de robo: de la nada, de lo virtual a lo real.
Por qué esto es muy peligroso
Aunque la pérdida de esta vez fue solo de 74,000 dólares, el problema subyacente es mucho mayor:
La vulnerabilidad de reentrada es la “pesadilla clásica” de DeFi. Ya en el ataque a TheDAO en 2016, la vulnerabilidad de reentrada causó pérdidas de millones de dólares. Han pasado diez años y esta vulnerabilidad sigue dañando los protocolos.
El período de enfriamiento no es una solución definitiva. FutureSwap pensó que un período de 3 días podría prevenir arbitrajes rápidos, pero no puede evitar ataques de reentrada. Porque el atacante no entra y sale rápidamente durante el período de enfriamiento, sino que ya obtiene tokens LP excesivos en la fase de acuñación mediante reentrada.
Esto refleja una tendencia en los problemas de seguridad recientes en DeFi. Justo un día antes (13 de enero), YO Protocol sufrió un evento de intercambio anómalo en Ethereum, donde 3.84 millones de dólares en stkGHO solo se cambiaron por 122,000 dólares en USDC. Aunque fue por un error en los parámetros y no por una vulnerabilidad, también muestra que los riesgos en los protocolos DeFi siguen siendo muy altos.
Lecciones para el ecosistema de Arbitrum
FutureSwap ha sido “nuevamente” atacado, lo que indica que ya tenía problemas de seguridad anteriormente. La exposición de esta vulnerabilidad de reentrada es una advertencia para todo el ecosistema de Arbitrum:
Resumen
Este ataque a FutureSwap, aunque con pérdidas relativamente pequeñas, ha puesto al descubierto una vulnerabilidad de reentrada que representa un riesgo sistémico en el ecosistema DeFi. El atacante, mediante un proceso en dos pasos, primero acuñó tokens LP excesivos mediante reentrada, y luego, tras el período de enfriamiento, retiró activos falsificados y los cambió por activos reales. Esto nos recuerda que los problemas de seguridad en DeFi aún no están resueltos, y que desde errores en parámetros hasta fallos técnicos, los riesgos están en todas partes. Para los usuarios, optar por protocolos que hayan sido exhaustivamente auditados sigue siendo la protección más básica.