Imagem da matéria: Hacker usa empréstimos relâmpago para roubar bitcoins de protocolo DeFi
Foto: Shutterstock

O protocolo de finanças descentralizadas (DeFi) Inverse Finance foi alvo de mais um ataque hacker nesta quinta-feira (16), que drenou cerca de US$ 1,2 milhões em criptomoedas dos pools de liquidez do projeto.

A estimativa preliminar é que o invasor foi capaz de roubar 53 bitcoin — cerca de US$ 1,1 milhão na atual cotação de US$ 21 mil da moeda — e US$ 100 mil em Tether (USDT), de acordo com o The Block.

Publicidade

A ofensiva dessa semana aconteceu apenas dois meses depois do Inverse Finance perder outros US$ 15 milhões em um hack muito semelhante.

Naquele início de abril, um invasor explorou um bug presente no oráculo do protocolo para manipular os preços de um pool de liquidez e conseguir sacar mais fundos do que deveria por meio de empréstimos relâmpagos (flash loan). Nesta quinta, o hacker também seguiu esse mesmo modelo: manipulação de oráculo e ataque flash loan.

Esse tipo de empréstimo instantâneo que existe em DeFi se tornou bastante usado por hackers porque permite emprestar grandes quantias de capital com pouca garantia. Em questão de segundos, o invasor pode pegar criptomoedas emprestadas, usá-las para explorar uma vulnerabilidade de milhões e pagar o empréstimo inicial.

Rastros do ataque

Os rastros deixados pelo invasor na blockchain mostram que um flash loan de 27.000 wrapped bitcoin (wBTC) — bitcoin sintético usado em DeFi — tomado no protocolo Aave deu o pontapé inicial ao ataque, segundo o CoinDesk.

Publicidade

Depois, os fundos foram trocados por várias stablecoins no Curve Finance, enviadas para o Inverse para que quantias de DOLA — stablecoin do Inverse Finance —  fossem sacadas de pools de liquidez.  

Os investidores da empresa de segurança blockchain PeckShield também notaram o ataque e entraram em mais detalhes no Twitter.

“O hack foi possível devido à manipulação do oráculo de preços, que fez uso indevido dos saldos de ativos no pool para calcular diretamente o preço do token no pool de liquidez. O flash load facilitou distorcer as reservas no pool”, explicou a empresa.  

Equipe em silêncio

A equipe do Inverse Finance ainda não confirmou os valores roubados ou entrou em mais detalhes sobre o ataque. 

No início desta manhã, a empresa se limitou a informar no Twitter que estava investigando um “incidente” no protocolo, mas não divulgou novas informações até a tarde desta quinta.

“A Inverse interrompeu temporariamente os empréstimos após um incidente nesta manhã em que DOLA foi removido do nosso mercado monetário, Frontier. Estamos investigando o incidente, mas nenhum fundo de usuário foi retirado ou estava em risco”, garantiu a mensagem.

VOCÊ PODE GOSTAR
Imagem da matéria: Elon Musk elogia taxa de inflação da Dogecoin: “É um recurso, não um bug”

Elon Musk elogia taxa de inflação da Dogecoin: “É um recurso, não um bug”

Elon Musk disse que função que limita oferta da Dogecoin funciona a favor da memecoin
Imagem da matéria: Trump nomeia Scott Bessent, gestor de fundo pró-cripto, como Secretário do Tesouro

Trump nomeia Scott Bessent, gestor de fundo pró-cripto, como Secretário do Tesouro

Bessent é um renomado gestor de fundos hedge conhecido por sua posição pró-criptomoedas
Imagem da matéria: Chainlink se une ao piloto do Drex em consórcio com Banco Inter e Microsoft

Chainlink se une ao piloto do Drex em consórcio com Banco Inter e Microsoft

A Chainlink vai utilizar sua tecnologia para gerar interoperabilidade entre o Drex e um banco central estrangeiro
Imagem da matéria: El Salvador lucra US$ 100 milhões com Bitcoin e Bukele comemora: "Eu avisei"

El Salvador lucra US$ 100 milhões com Bitcoin e Bukele comemora: “Eu avisei”

Governo de El Salvador não vendeu nenhum Bitcoin, mas, se o fizesse, obteria um lucro significativo