Super Sushi Samurai: Precio del SSS se desploma debido a un exploit ejecutado por hacker ético

SSS, el token nativo del proyecto Super Sushi Samurai, experimentó una caída del 99% de su precio después de que un hacker ético, también conocido como “whitehat”, aprovechara un error de doble gasto en el ecosistema.

Anuncio de Super Sushi Samurai

Ayer, en horas de la mañana, Super Sushi Samurai, un proyecto GameFi de Layer 2 construido en Coinbase y Telegram, reportó estar experimentando un exploit a través de su perfil oficial en X:

We have been exploited, it's mint related. We are still looking into the code. Tokens were minted and sold into the LP.
Transaction:https://t.co/F4XeqdyJu2

the exploited funds are in this wallet: https://t.co/NWeTu5vMkj

— Super Sushi Samurai | SSS (@SSS_HQ) March 21, 2024

En la publicación, el equipo informó que estaban revisando el código del proyecto y que los tokens fueron acuñados y vendidos en la misma pool de liquidez.

Error de doble gasto

Luego de la alerta emitida por Super Sushi Samurai, el desarrollador blockchain Coffeexcoin publicó en su perfil de X que la liquidez del token SSS se agotó durante el exploit por un error identificado en el código del contrato:

The @SSS_HQ $SSS LP was just drained on blast because their token contract has a bug where transferring your entire balance to yourself doubles it.

The order of operations decrements the balance for "from" and then sets the balance for "to" – if these are the same address, the… pic.twitter.com/RStMcFH3sy

Publicidad

— Coffee ☕️🍌 (@coffeexcoin) March 21, 2024

En palabras sencillas, Coffeexcoin explicó que el error consiste en que, al transferir los fondos a la misma cuenta emisora, el contrato duplicaba el saldo en la cartera.

A través de este bug, el hacker realizó 25 operaciones que duplicaron los fondos hasta generar un total de 11.5 billones de SSS, los cuales fueron cambiados por 1.310 ETH y posteriormente vendidos por $4.6 millones aproximadamente.

El hacker se comunica

Apenas 20 minutos después del ataque, la cuenta del proyecto anunció que estaban en contacto con el hacker responsable, ya que éste se comunicó a través de un mensaje enviado en una transacción registrada en Blastscan, el explorador de la mainnet de Blast:

We are in touch with the exploiter

— Super Sushi Samurai | SSS (@SSS_HQ) March 21, 2024

En el mensaje, el atacante informó que era un whitehat y que se trataba de un hackeo con rescate, por lo que solicitó mantener comunicación a través del chat en la red principal de Ethereum.

No obstante, a pesar de las intenciones del hacker ético, la operación generó un desplome en el precio del token SSS, el cual reportó una caída de hasta el 99% del valor registrado antes del ataque.

Actualización del incidente

En horas de la mañana, Super Sushi Samurai publicó una entrada en X en la que expusieron que los fondos ya estaban a salvo, además de anunciar el pago de una recompensa del 5% de los fondos junto a 2,5% en SSS al hacker whitehat por encontrar el fallo:

Funds are safu.

Grateful to announce a positive outcome for our players and holders. We have decided to reward the white hat a 5% bounty in ETH for rescuing user funds. The remaining funds will be transferred to the following multisig address under SSS team control:…

— Super Sushi Samurai | SSS (@SSS_HQ) March 22, 2024

El equipo explicó que la recompensa sería asumida por ellos mismos para que la liquidez del pool regrese a su estado original antes de la ejecución del exploit.

Sumado a esto, en la misma actualización, Super Sushi Samurai anunció que, con el objetivo de incorporar asistencia para protegerse contra nuevos incidentes, decidieron contratar al whitehat para que ocupara el puesto de asesor tecnológico del proyecto.