Verificación de firma ausente en Gym Network

El 8 de junio de 2022, la granja de yield/estilo MLM en BNB Chain Gym Network perdió aproximadamente 2,1 millones de dólares porque una función de depósito aceptaba un parámetro de firma pero nunca lo validaba. El atacante pasó una firma no verificada y un depósito manipulado para acuñar una cantidad enormemente desproporcionada de recompensas GYMNET desde un depósito casi cero, luego volcó los tokens.

Qué ocurrió

El flujo depositFromOtherContract (o equivalente) de Gym Network tomaba una firma destinada a autorizar la operación. El contrato decodificaba la firma pero nunca la verificaba contra un firmante autorizado. Con la verificación efectivamente ausente, el atacante suministró parámetros arbitrarios, depositó una cantidad trivial y se le acreditó una enorme recompensa GYMNET, que vendió.

Consecuencias

• Gym Network pausó el contrato afectado y parcheó la verificación de firma.
• El token GYMNET colapsó por el volcado; siguió una continuación parcial del protocolo.

Por qué importa

Gym Network es un bug de manual "parámetro de firma presente pero no verificado", de la misma clase que KiloEX (2025) y otros donde la apariencia de una verificación de seguridad (una firma en la signatura de la función) daba falsa confianza mientras que la verificación real estaba ausente o rota. La lección que el catálogo sigue enseñando: un mecanismo de seguridad presente en la interfaz pero no aplicado en la implementación es peor que ninguno, porque fabrica falsa confianza. Los auditores y tests deben verificar que la comprobación se dispara y rechaza, no meramente que el parámetro exista.