A Starkwise, uma plataforma de staking de Ethereum 2.0, impediu que pelo menos três empresas concorrentes perdessem mais de R$ 390 milhões em criptomoedas caso um bug presente no código dos projetos fosse explorado.
Até o momento, o mesmo erro foi encontrado no Lido Finance, StaFi Protocol e Rocket Pool, todos projetos que oferecem staking de Ethereum 2.0 — processo em que um usuário “trava” suas criptomoedas em uma uma blockchain de prova de participação (PoS) para validar transações e receber recompensas em troca.
No Twitter, a equipe da StakeWise deu mais detalhes sobre o ocorrido. “Ontem à noite, por volta das 7PM UTC, nosso fundador Dmitri Tsumak descobriu uma vulnerabilidade grave no Rocket Pool que poderia levar ao roubo de fundos dos usuários se explorada. Após um exame mais aprofundado, ficou claro que a arquitetura do Lido Finance também foi afetada”.
Na manhã desta quinta-feira (7), a StaFi Protocol informou a comunidade que o mesmo bug também estava presente no seu código. “Revisamos os contratos rETH e encontramos a mesma situação”, disse a empresa, acalmando os usuários de que todos os seus fundos estão seguros já que o erro foi identificado e corrigido.
O Lido Finance escreveu um relatório sobre o assunto onde explicou que, no seu caso específico, a vulnerabilidade só poderia ser explorada por um operador de nó, que geralmente são atores de boa reputação escolhidos pela DAO. Mesmo assim, o bug abriu a brecha.
“O impacto potencial da vulnerabilidade era alto, já que todo o buffer Ether não depositado estava em risco, aproximadamente 20.000 ETH”, escreveu a equipe do Lido. A quantia equivalente a R$ 390 milhões em ether representa apenas o possível prejuízo do Lido Finance, sem levar em consideração os fundos do StaFi Protocol e Rocket Pool que também estavam em risco.
O Lido reduziu temporariamente os limites de staking para todos os operadores de nó enquanto implementa uma solução de médio prazo.
Comunidade unida
O Rocket Pool, protocolo onde o bug foi encontrado pela primeira vez, estava se preparando para lançar a sua rede principal no mesmo dia que o desenvolvedor Dmitri Tsumak reportou o erro no programa de recompensa da Immunifi.
Tanto o Rocket Pool quanto o Lido Finance se comprometeram a pagar US$ 100 mil para Tsumak, a recompensa máxima para desenvolvedores que encontram e reportam no Immunifi bugs de alta gravidade.
“Gostaríamos de estender nossos mais calorosos agradecimentos a @tsudmi por descobrir a exploração. Temos orgulho de fazer parte de uma comunidade de staking tão fantástica”, escreveu a equipe do Rocket Pool.
No Twitter, o desenvolvedor deixou a rivalidade de lado e disse que “a segurança coletiva do staking de Ethereum 2.0 é de extrema importância”, sendo elogiado pela comunidade. “Você é uma lenda”, escreveu o usuário @_boodle_.
