El 13 de diciembre de 2023, el agregador OKX DEX perdió aproximadamente $2,7 millones de fondos de usuarios después de que se comprometiera una clave privada de proxy-admin desactivada. El atacante la usó para actualizar el proxy de OKX DEX a una implementación maliciosa que drenaba tokens de billeteras que habían concedido aprobaciones al agregador.
Qué ocurrió
Los contratos DEX de OKX usaban un proxy actualizable. Una antigua clave de proxy-admin que debería haber sido retirada mantenía la autoridad de actualización. El atacante la obtuvo, desplegó una implementación maliciosa, y el contrato actualizado permitía transferFrom arbitrario contra el (muy grande) conjunto de billeteras con aprobaciones pendientes a OKX DEX. ~$2,7 M fueron barridos antes de que OKX revocara el proxy admin y pausara.
Consecuencias
- OKX rotó el proxy admin, pausó el contrato y se comprometió a compensar totalmente a los usuarios afectados.
- La mayoría de los usuarios afectados fueron reembolsados con fondos corporativos de OKX.
Por qué importa
OKX DEX combina dos lecciones recurrentes del catálogo: (1) las claves desactivadas son claves activas hasta ser explícitamente revocadas (cf. el rol Profanity no revocado de Wintermute, el minter dormido de Gala Games), y (2) los contratos actualizables que mantienen aprobaciones extienden la confianza del usuario a todas las implementaciones futuras. El agregador DEX de un exchange importante mantiene un pool enorme de aprobaciones pendientes; una sola clave de actualización olvidada convierte ese pool en el radio de explosión. La respuesta de reembolso desde tesorería es, para 2023, el comportamiento de supervivencia básico que el catálogo documenta repetidamente.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-okx-dex-hack-december-2023
- [02]cryptobriefing.comhttps://cryptobriefing.com/okx-dex-hacked-2-7-million-after-private-key-leak/
- [03]rekt.newshttps://rekt.news/okx-dex-rekt