Manipulación de contexto en Superfluid

El 8 de febrero de 2022, el protocolo de streaming de dinero Superfluid perdió aproximadamente $8,7 millones cuando un atacante manipuló el objeto "context" que el contrato host de Superfluid pasa entre sus contratos de acuerdo. Al falsificar el contexto, el atacante suplantó la identidad del llamante y ejecutó operaciones de stream privilegiadas.

Qué ocurrió

La arquitectura de Superfluid pasa una estructura serializada ctx (context) a través de callAgreement entre el host y los contratos de acuerdo, llevando la identidad del llamante y los metadatos de la llamada. El host no validaba suficientemente que un ctx suministrado por el llamante fuera auténtico.

El atacante construyó un contexto malicioso que falsamente representaba msg.sender como una cuenta privilegiada/arbitraria, y luego lo usó para llamar a funciones de acuerdo que movieron fondos transmitidos como si estuvieran autorizadas — extrayendo ~$8,7M en activos mixtos en Polygon.

Consecuencias

• Superfluid parcheó la validación del contexto y pausó las operaciones afectadas.
• Una porción significativa fue recuperada mediante negociación y la respuesta del equipo.
• Superfluid publicó un post-mortem detallado sobre la causa raíz de la falsificación del contexto.

Por qué importa

Superfluid es un caso limpio de por qué cualquier metadato de "quién soy" suministrado por el llamante debe ser validado criptográfica o estructuralmente, nunca confiado. La novedosa arquitectura de streaming del protocolo introdujo un nuevo objeto de confianza (ctx) — y la nueva abstracción reintrodujo la vulnerabilidad más antigua (suplantación de llamante) en una nueva forma. La lección recurrente del catálogo: cada nueva primitiva arquitectónica es una oportunidad fresca para reintroducir bugs de autenticación de llamante y control de acceso, porque la primitiva está sin auditar por la experiencia colectiva del ecosistema hasta que incidentes como este se la enseñan.