Hacker usa empréstimos relâmpago para roubar bitcoins de protocolo DeFi

O protocolo de finanças descentralizadas (DeFi) Inverse Finance foi alvo de mais um ataque hacker nesta quinta-feira (16), que drenou cerca de US$ 1,2 milhões em criptomoedas dos pools de liquidez do projeto.

A estimativa preliminar é que o invasor foi capaz de roubar 53 bitcoin — cerca de US$ 1,1 milhão na atual cotação de US$ 21 mil da moeda — e US$ 100 mil em Tether (USDT), de acordo com o The Block.

A ofensiva dessa semana aconteceu apenas dois meses depois do Inverse Finance perder outros US$ 15 milhões em um hack muito semelhante.

Naquele início de abril, um invasor explorou um bug presente no oráculo do protocolo para manipular os preços de um pool de liquidez e conseguir sacar mais fundos do que deveria por meio de empréstimos relâmpagos (flash loan). Nesta quinta, o hacker também seguiu esse mesmo modelo: manipulação de oráculo e ataque flash loan.

Esse tipo de empréstimo instantâneo que existe em DeFi se tornou bastante usado por hackers porque permite emprestar grandes quantias de capital com pouca garantia. Em questão de segundos, o invasor pode pegar criptomoedas emprestadas, usá-las para explorar uma vulnerabilidade de milhões e pagar o empréstimo inicial.

Rastros do ataque

Os rastros deixados pelo invasor na blockchain mostram que um flash loan de 27.000 wrapped bitcoin (wBTC) — bitcoin sintético usado em DeFi — tomado no protocolo Aave deu o pontapé inicial ao ataque, segundo o CoinDesk.

Depois, os fundos foram trocados por várias stablecoins no Curve Finance, enviadas para o Inverse para que quantias de DOLA — stablecoin do Inverse Finance —  fossem sacadas de pools de liquidez.  

Os investidores da empresa de segurança blockchain PeckShield também notaram o ataque e entraram em mais detalhes no Twitter.

“O hack foi possível devido à manipulação do oráculo de preços, que fez uso indevido dos saldos de ativos no pool para calcular diretamente o preço do token no pool de liquidez. O flash load facilitou distorcer as reservas no pool”, explicou a empresa.  

1/ @InverseFinance was exploited in https://t.co/OaCemQfWug,
leading to the gain of ~$1.26M for the hacker (The protocol loss may be larger).

— PeckShield Inc. (@peckshield) June 16, 2022

Equipe em silêncio

A equipe do Inverse Finance ainda não confirmou os valores roubados ou entrou em mais detalhes sobre o ataque. 

No início desta manhã, a empresa se limitou a informar no Twitter que estava investigando um “incidente” no protocolo, mas não divulgou novas informações até a tarde desta quinta.

“A Inverse interrompeu temporariamente os empréstimos após um incidente nesta manhã em que DOLA foi removido do nosso mercado monetário, Frontier. Estamos investigando o incidente, mas nenhum fundo de usuário foi retirado ou estava em risco”, garantiu a mensagem.

Inverse has temporarily paused borrows following an incident this morning where DOLA was removed from our money market, Frontier. We are investigating the incident however no user funds were taken or were at risk. We are investigating and will provide more details soon.

— Inverse+ (@InverseFinance) June 16, 2022