Stars Arena, una plataforma basada en la blockchain Avalanche, ha sufrido 2 grandes ataques en apenas unos días, lo que ha supuesto varios millones de dólares en pérdidas. Aunque el contrato inteligente de la aplicación se ha vaciado por completo, los equipos de Stars Arena han anunciado que la plataforma se relanzará pronto con todos los fondos de sus usuarios restaurados.
Stars Arena víctima de un segundo ataque en pocos días
Stars Arena, una bifurcación de friend.tech alojada en la blockchain Avalanche, fue despojada de casi 3 millones de dólares poco después de su lanzamiento debido a un fallo en uno de sus contratos inteligentes.
Dos días antes, Stars Arena ya había sufrido un robo de 2.000 dólares por un fallo similar. Mientras que los equipos del proyecto se defendieron alegando que actores maliciosos habían llevado a cabo un «ataque coordinado» contra ellos, muchos observadores, incluidos 0xlilitch y 0xfoobar, atacaron virulentamente a Stars Arena.
0xfoobar, por ejemplo, fundador de Delegate, les acusó de haber copiado un contrato inteligente funcional y haberle añadido oportunidades de ataque:
«Has tomado un contrato base completamente funcional y de alguna manera has añadido nuevos vectores de ataque en tu bifurcación no verificada. Borra tu cuenta y tu producto, esto es un circo. «
Al igual que su competidor friend.tech, Stars Arena permite adquirir participaciones en los perfiles de famosos en la aplicación. Cuantas más personas tengan Acciones en un perfil, mayor será el precio de una Acción en ese perfil.
En esta ocasión, según la firma de seguridad blockchain PeckShield, el atacante llevó a cabo un ataque de reentrada, lo que le permitió revender Acciones a precios muy superiores a su precio real.
Nuestro análisis inicial sobre el hackeo de 2,9 millones de dólares de hoy de @starsarenacomW indica un problema de reentrada en el Stars Arena: las Acciones se contratan a https://t.co/Hg6C8MCPan
Se abusa de la reentrada para actualizar el peso cuando se emite la acción/billete y así poder vender 1 acción a un precio mucho mayor… https://t.co/17CxO3uLbe pic.twitter.com/fouVjevYTs
– PeckShield Inc. (@peckshield) 7 de octubre de 2023
Stars Arena confirmó más tarde el ataque a X, instando a sus usuarios a dejar de depositar fondos en su plataforma
Incluso con un contrato inteligente vaciado, el proyecto pretende ir a más
Esta tarde, Stars Arena volvió a comunicarse en X para tranquilizar a sus usuarios. Según los equipos responsables del proyecto, la aplicación se reabrirá en breve con «todos los fondos al completo» :
Noticias importantes: hemos asegurado los recursos para cerrar la brecha causada por el exploit.
Además, un equipo especial de desarrollo de sombrero blanco está llegando para revisar rápidamente la seguridad de la plataforma.
Reabriremos el contrato con todos los fondos en su totalidad tras una seguridad completa…
– Stars Arena (@starsarenacom) 7 de octubre de 2023
» Noticias importantes: hemos conseguido los recursos necesarios para cerrar la brecha causada por el exploit. Además, está llegando un equipo especial de desarrolladores de sombrero blanco para revisar rápidamente la seguridad de la plataforma. Reabriremos el contrato con financiación completa tras una auditoría de seguridad completa. Esto ocurrirá muy pronto. Nos vemos en Spaces en unas horas. No nos vamos a ninguna parte. La Arena sigue adelante. «
Emin Gün Sirer, fundador de Avalanche, salió al rescate de la plataforma en X, asegurando que «Stars Arena es un producto rentable» y que la cantidad robada, casi 3 millones de dólares, podría recuperarse «en unos diez días» gracias a la rentabilidad de la app.
Evolución del valor total bloqueado (TVL) en Stars Arena
Al igual que vimos en la blockchain de Ethereum para friend.tech en su momento álgido, la excitación generada por el lanzamiento de Stars Arena provocó momentáneamente un aumento de las comisiones por transacción en Avalanche. Esto también provocó una subida del precio del token AVAX, aunque ahora ha retrocedido. AVAX cotiza en torno a los 10,4 dólares en el momento de escribir
