El intercambio descentralizado Clipper ha informado que un reciente hackeo que resultó en una pérdida de $450,000 se debió a una vulnerabilidad en su función de retiro, en lugar de la filtración de claves privadas sugerida anteriormente. El 1 de diciembre, el atacante logró explotar dos grupos de liquidez, que representaban aproximadamente el 6% del valor total bloqueado en la plataforma. Clipper confirmó que otros grupos permanen inalterados y declaró que el incidente de explotación había concluido.
Al abordar las afirmaciones de terceros sobre una filtración de claves privadas, Clipper enfatizó que estas afirmaciones eran infundadas y no se alineaban con su infraestructura de seguridad. Señaló que el proceso de retiro, que permitía la transferencia de un solo token a través de una transacción agrupada, fue desactivado temporalmente. Esta característica en particular fue identificada como la que había sido explotada por el atacante.
El cofundador de la firma de ciberseguridad Fuzzland había indicado anteriormente que el hackeo provenía de una vulnerabilidad de API, sugiriendo que la API podría haber permitido a un atacante manipular las solicitudes de depósito y retiro, extrayendo así más fondos de los inicialmente depositados. En respuesta, Clipper anunció que estaba llevando a cabo una investigación exhaustiva sobre la violación y proporcionaría actualizaciones a medida que se materializaran. Mientras que los intercambios y depósitos han sido detenidos, los retiros siguen operativos, pero deben incluir una mezcla de todos los activos dentro del grupo.
Clipper también ha iniciado esfuerzos para rastrear los fondos robados con la esperanza de recuperarlos y ha extendido una invitación al perpetrador para que se comunique directamente con el equipo. Este incidente se suma a un total significativo de más de $1.48 mil millones en criptomonedas robadas registrado en 2024, reflejando una disminución del 15% en comparación con el mismo período del año anterior, según un informe reciente de Immunefi.
