Un bot de arbitraje conocido como printMoney ha sido drenado de más de $2 millones en criptomonedas, según el rastreador de seguridad en la cadena PeckShieldAlert, lo que indica que un exploit serio ha golpeado el ecosistema de BNB Chain. Los peligros de usar bots de arbitraje completamente en la cadena son nuevamente destacados por este ataque, particularmente en entornos sin permisos como BNB Chain.
El propósito de los bots de arbitraje, que son agentes de trading automatizados, es aprovechar las discrepancias de precios entre intercambios o pools de liquidez. Específicamente, los bots en la cadena ejecutan operaciones a través de DEX como PancakeSwap o Venus trabajando directamente dentro de los protocolos de contratos inteligentes. A pesar de su potencial utilidad, estos bots también son extremadamente vulnerables porque cada táctica de trading y debilidad es abiertamente evidente y susceptible de abuso. Como demuestra la captura de pantalla de la transacción, la billetera comprometida perdió dinero en varios activos.
Más de $11 millones en stablecoins y cientos de miles más en activos envueltos han sido drenados en total, lo que indica que el exploit fue sistemático y pudo haber aprovechado un fallo en el contrato inteligente o una estructura de permisos mal configurada en la rutina de arbitraje del bot.
tarjeta
La seguridad operativa de muchos bots en la cadena es una de sus principales debilidades. Se convierten en objetivos deseables porque frecuentemente necesitan mantener saldos considerables para ejecutar operaciones rápidas. Además, si sus contratos inteligentes no son cuidadosamente examinados, los actores malintencionados podrían manipular la liquidez del pool, crear oportunidades de arbitraje ficticias o aprovechar las características de callback.
La centralización de fondos es otro problema. Para ahorrar capital, los operadores de arbitraje combinan frecuentemente los fondos de los usuarios en un solo bot. La compromisión de ese bot podría resultar en masivos puntos únicos de fallo, poniendo en riesgo todos los activos agrupados.
Otro signo de advertencia para cualquiera que use herramientas de trading automatizado en la cadena es este incidente. Suponga que todo en la cadena es visible para los atacantes, ya sea que usted sea un inversor o un desarrollador, y que su bot sea un blanco fácil si no toma las precauciones adecuadas.
