Reentrada de solo lectura en Midas Capital
Midas Capital en Polygon perdió $660K por una reentrada de solo lectura en Curve que tasó mal el LP jBRL/BRZ, permitiendo prestar contra valor inflado.
- Fecha
- Víctima
- Midas Capital
- Cadena(s)
- Estado
- Fondos robados
El 15 de enero de 2023, el protocolo de préstamos en Polygon Midas Capital perdió aproximadamente $660.000 a través de una reentrada de solo lectura en Curve que tasó incorrectamente el colateral LP jBRL/BRZ. El atacante manipuló el precio virtual del LP a mitad de mutación y pidió prestado contra el valor inflado.
Qué ocurrió
Midas aceptaba un token LP jBRL/BRZ de Curve como colateral, tasado a partir del get_virtual_price del pool. Durante un remove_liquidity de Curve, el precio virtual reportado es temporalmente incorrecto; el atacante reingresó en la ruta de préstamo de Midas durante esa ventana, con Midas leyendo el precio manipulado y sobrevalorando el colateral. ~$660K fueron prestados.
Consecuencias
- Midas pausó el mercado afectado y parcheó la lectura de precio.
- Pérdida pequeña; recuperación mínima.
Por qué importa
Midas Capital es el más temprano del cúmulo de reentrada de solo lectura de 2023 — seguido por dForce (febrero), Sturdy (junio), EraLend (julio), Conic (julio) y Balancer (agosto). El incidente de Midas de enero fue la advertencia para un patrón que se repetiría todo el año. El valor del catálogo aquí es la línea de tiempo: la clase de bug se demostró en enero y aún drenaba protocolos en agosto, porque la guía defensiva (verificar el bloqueo de reentrada del pool antes de leer su precio) se propaga mucho más lento que la técnica del exploit.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-midas-capital-hack-january-2023
- [02]beincrypto.comhttps://beincrypto.com/midas-capital-releases-660000-exploit-post-mortem-defi-attacks-carry-into-2023/
- [03]rekt.newshttps://rekt.news/midas-capital-rekt