Reentrada en el Rebalancer de Clober DEX
Una reentrada en el withdraw del Rebalancer de Clober DEX en Base permitió re-entrar antes del asiento contable LP, drenando $500K en exceso.
- Fecha
- Víctima
- Clober DEX
- Cadena(s)
- Estado
- Parcialmente recuperado
El 10 de diciembre de 2024, el DEX de libro de órdenes en Base Clober perdió aproximadamente 500.000 dólares a través de una reentrada en la ruta de retirada de su contrato Rebalancer. El contrato realizaba una transferencia externa antes de finalizar la contabilidad LP, permitiendo al atacante re-entrar en withdraw y extraer liquidez desproporcionada.
Qué ocurrió
El Rebalancer de Clober gestionaba posiciones LP. Su withdraw enviaba activos antes de actualizar la contabilidad de shares LP; un contrato atacante re-entraba en withdraw durante la transferencia, retirando repetidamente contra saldos obsoletos hasta que la posición se drenó (~$500K).
Consecuencias
- Clober pausó el Rebalancer; recuperación parcial vía negociación.
- Parcheado con orden checks-effects-interactions y un guard de reentrada.
Por qué importa
Clober es un recordatorio de finales de 2024 de que el linaje de reentrada en depósito/retirada — The DAO (2016) pasando por Grim, Penpie y más allá — no envejece. Las nuevas cadenas (Base) y los nuevos mecanismos (rebalancers de DEX de libro de órdenes) siguen recreando las condiciones para el bug más antiguo porque la superficie de ataque se mueve a donde está el código más nuevo, y el código más nuevo lo escriben equipos que conocen la lección en abstracto pero la reintroducen en concreto. Guard de reentrada + CEI en cada ruta que mueve valor, sin excepciones, sigue siendo la respuesta ocho años después.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-clober-dex-hack-december-2024
- [02]certik.comhttps://www.certik.com/resources/blog/clober-dex-incident-analysis
- [03]rekt.newshttps://rekt.news/cloberdex-rekt