Um hacker foi capaz de roubar R$ 1,4 milhão em criptomoedas ao invadir os cofres do projeto de finança descentralizada (DeFi) Flurry Finance na madrugada desta quarta-feira (23).
Os investigadores da empresa de segurança blockchain Certik narraram no Twitter o complexo plano do invasor para inserir um contrato fraudulento no Flurry Finance para abrir a brecha ao ataque.
Para executar o roubo, o hacker precisava implantar um contrato de token malicioso dentro do projeto, criando um par na PancakeSwap para o token e BUSD.
O invasor mirou nos contratos de rhoTokens — um dos tokens que alimenta o ecossistema do Flurry Finance, atrelado 1:1 às suas stablecoins subjacentes, como rhoUSDT, rhoUSDC e rhoBUSD.
Empréstimos instantâneos (flash loan) foram feitos no protocolo Rabbit Finance para o hacker ser capaz de acionar o método de execução StrategyLiquidate, parte do contrato que continha a vulnerabilidade.
Ao depositar os fundos emprestados no multiplicador que controla as reservas da stablecoin, o invasor conseguiu manipular o contrato inteligente do rhoTokens. Após o empréstimo, ele seguiu para a segunda parte do ataque, conforme explica a CertiK:
“O invasor devolveu o flashloan e finalizou a transação de preparação. Na próxima transação, ele depositou tokens com o multiplicador baixo, atualizou o multiplicador para um valor mais alto (normal) e retirou os tokens com o multiplicador alto”.
Como o hacker conseguiu manipular o multiplicador, que é um dos fatores que decidem o saldo do RhoToken, ele realizou diversas transações para sacar mais tokens do que deveria ser capaz dos cofres do projeto. O hacker repetiu esse processo várias vezes, dando um prejuízo de R$ 1,4 milhão para o Flurry Finance e seus investidores.
Flurry Finance
Como medida de precaução, o Flurry Finance pausou todos os contratos inteligentes do rhoToken na BNB Chain e Polygon, interrompendo a chance dos investidores converterem rhoTokens para FLURRY, o token de governança do protocolo.
Como o ataque afetou apenas rhoTokens, o preço do FLURRY permanece estável nesta quarta-feira, por volta de US$ 0.0005, segundo o CoinGecko.
Embora não tenha caído nas últimas 24 horas, o desempenho da moeda na semana é negativo, acumulando perdas de 30% nos últimos sete dias. O cenário fica ainda pior ao analisar o comportamento do ativo ao longo do mês, período em que sua desvalorização ultrapassa os 50%.
“À medida que nos aprofundamos no incidente, descobrimos que o hacker explorou apenas os fundos implantados no Rabbit Finance que ainda estamos investigando. Outros fundos permanecem seguros. […] Nossas mais profundas desculpas por todos os inconvenientes”, tuitou a equipe do projeto, prometendo divulgar um relatório completo sobre o incidente no futuro.