En marzo de 2022, el protocolo de rendimiento de BNB Chain Paraluni perdió aproximadamente $1,7 millones. Su función de depósito aceptaba un token no validado suministrado por el usuario y carecía de protección contra reentrada; el callback de transferencia de un token falso reingresaba en la lógica de depósito, minteando participaciones excesivas que el atacante redimió.
Qué ocurrió
La ruta estilo depositByAddLiquidity de Paraluni confiaba en las direcciones de token suministradas por el llamador y no tenía guarda de reentrada. Un token malicioso reingresó a mitad del depósito, inflando el saldo de participación del atacante, que fue redimido por activos reales (~$1,7 M).
Por qué importa
Paraluni es el bug compuesto de token falso + reentrada (Akropolis, Grim Finance, Orion Protocol) — dos primitivos faltantes (lista de permitidos de tokens + nonReentrant) que individualmente son sobrevivibles y conjuntamente son un drenaje completo. Para marzo de 2022 este compuesto exacto había sido demostrado durante más de un año a través de múltiples cadenas; Paraluni lo desplegó de todos modos. Es uno de los puntos de datos más puros del catálogo de "la solución son dos one-liners conocidos, disponibles libremente y omitidos".
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-paraluni-hack-march-2022
- [02]rekt.newshttps://rekt.news/paraluni-rekt