Vulnerabilidad Crítica en Contrato BSC Desencadena Pérdida de $100,000

CoconutWaterBoy · 2026-02-05T17:05:18+00:00

BlockSec Phalcon reported a sophisticated attack on a BSC contract, resulting in a loss of $100,000 due to a vulnerability in the token burn mechanism. The exploit used a two-phase strategy, manipulating the architecture's flaws to profit from price distortions, highlighting risks in smart contract design.

CoconutWaterBoy

2026-02-05 17:05:18

Generación de resúmenes en curso

BlockSec Phalcon, la plataforma de seguridad de la reconocida firma de auditoría BlockSec, reportó recientemente en la red X el descubrimiento de un ataque sofisticado contra un contrato desconocido desplegado en la cadena BSC. La operación maliciosa resultó en una sustracción de aproximadamente $100,000, exponiendo un fallo fundamental en el mecanismo de sincronización del protocolo de quema de pares de tokens.

Arquitectura del Protocolo: Donde Reside la Vulnerabilidad

Según el análisis compartido por Odaily, la raíz del problema se encuentra en el diseño del sistema de quema de liquidez. La vulnerabilidad no radica simplemente en un código defectuoso, sino en una arquitectura que permite manipulaciones en cascada. El protocolo implementaba una función de sincronización que, aunque tenía la intención de mantener el equilibrio de pares, terminó siendo el punto débil del contrato.

El mecanismo estaba programado para destruir automáticamente porcentajes significativos de tokens cuando se realizaban operaciones de intercambio, con la creencia de que esta acción protegería el fondo. Sin embargo, esta misma característica se convirtió en la herramienta que el atacante utilizó para su beneficio.

Ejecución en Dos Fases: La Anatomía del Ataque

El explotador aprovechó la vulnerabilidad mediante una estrategia de arbitraje ejecutada en dos operaciones consecutivas. En la primera fase, durante un intercambio inicial, logró extraer el 99.56% de los tokens PGNLZ del fondo de liquidez. Esta acción por sí sola debería haber desencadenado mecanismos de seguridad, pero la arquitectura permitió continuar.

En la segunda fase, el atacante realizó una operación de venta de PGNLZ que activó automáticamente la función transferFrom del contrato. Esta función, como estaba diseñada, procedió a destruir el 99.9% de los tokens PGNLP restantes y ejecutó una sincronización forzada. Aquí es donde la vulnerabilidad mostró toda su magnitud: la quema masiva de PGNLP causó un aumento artificial en el precio relativo del token, manipulando las métricas de valor del fondo.

Ganancia del Atacante: Explotación de Precios Manipulados

Aprovechando la distorsión de precios generada por la sincronización y quema de tokens, el explotador ejecutó su movimiento final. Con el precio manipulado a su favor, logró retirar prácticamente la totalidad de los USDT que permanecían en el fondo, completando así la cadena de eventos que resultó en la pérdida total de $100,000.

Implicaciones para el Ecosistema BSC

Este incidente subraya un patrón recurrente en vulnerabilidades de contratos inteligentes: la confluencia de mecanismos aparentemente independientes puede crear vectores de ataque no previstos. Los desarrolladores que operan en la cadena BSC y diseñan protocolos con funciones de quema deben reconsiderar cómo estas interactúan con las operaciones de sincronización y las transferencias de fondos, implementando validaciones adicionales que rompan estas cadenas de explotación.

TOKEN-16,93%

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.