Hacker com dinheiro nas mãos
Shutterstock

O protocolo DeFi de empréstimos de criptoativos, Sturdy Finance, foi atingido por uma exploração de hackers nesta segunda-feira (12) que drenou 442 ETH (no valor de cerca de US$ 780 mil ou quase R$ 4 milhões) da plataforma.

A exploração foi anunciada por empresas de segurança blockchain como a PeckShield e a BlockSec; a equipe da Sturdy Finance reconheceu o hack e interrompeu a atividade na plataforma DeFi enquanto investigava o problema. 

Publicidade

O protocolo permite empréstimos contra tokens de provedores de liquidez de exchanges como Curve e Balancer como garantia. O aplicativo descentralizado oferece dois mercados de empréstimos — stablecoins atreladas ao Ethereum e ao dólar.

Um membro da equipe principal da Sturdy Finance, pgpsam, apontou no canal Discord do projeto que “com base na nossa investigação até agora, o mercado de stablecoins não foi afetado.”

No entanto, enquanto a atividade permanece pausada, os usuários de stablecoins e ETH não podem sair dos pools da Sturdy.

Pgpsam acrescentou: “Nossa prioridade agora é entender a exploração/como mitigar isso e a comunicação com o hacker.” 

Como aconteceu o ataque? 

Os relatórios iniciais indicam que o invasor manipulou o oráculo de preços de um pool de garantias e desviou fundos da Sturdy. 

Publicidade

A equipe da BlockSec apresentou o relatório sobre o ataque no Twitter nesta segunda-feira, observando que foi um típico ataque de “redundância somente-leitura do protocolo Balancer”. 

Um ataque de redundância acontece quando uma função de contrato inteligente interage com outro contrato, e esse outro contrato chama de volta ao primeiro contrato antes de terminar sua execução.

Neste caso, o invasor chamou repetidamente o pool B-stETH-STABLE antes que as transações anteriores fossem executadas, fazendo com que o oráculo de preços do pool funcionasse mal e refletisse um aumento de três vezes. 

O hacker tinha usado B-stETH-STABLE como garantia para fazer empréstimos na Sturdy. À medida que o seu preço aumentava, o hacker retirava garantias do pool da Sturdy. Neste ponto, o valor real de suas garantias é de um terço de seu valor inflacionado, permitindo que o hacker se beneficie da diferença. 

Publicidade

Ele tomou um empréstimo instantâneo da Aave de 50 mil wstETH e 60 mil WETH (no valor de cerca de US$ 191 milhões) para conduzir o ataque. 

A PeckShield relatou que os exploradores moveram os fundos roubados via Tornado Cash, um misturador de criptomoedas que adiciona uma camada de privacidade nas transações, obscurecendo a ligação entre o remetente e os endereços do destinatário.

O governo dos EUA sancionou o Tornado Cash no ano passado devido ao seu uso pelo grupo de hackers norte-coreano Lazarus.

*Traduzido por Gustavo Martins com autorização do Decrypt.

VOCÊ PODE GOSTAR
Kamala Harris, vice-presidente dos EUA

Kamala Harris promete manter os EUA “dominantes” em blockchain

A candidata democrata à presidência falou sobre blockchain em um discurso público na quarta-feira
Imagem da matéria: Nubank reduz em até 60% taxa de compra e venda de criptomoedas

Nubank reduz em até 60% taxa de compra e venda de criptomoedas

Na nova mecânica, a taxa será definida mediante o volume transacionado pelo cliente em 45 dias
Ilustração do novo jogo hamster kombat com diamantes

Hamster Kombat: Aprenda a ganhar mais diamantes na temporada interlúdio

Os diamantes oferecerão algum tipo de vantagem na próxima temporada de Hamster Kombat; aqui está como acumular muitos deles no Telegram
Imagem da matéria: Bitcoin pode se tornar um porto seguro durante conflito entre Irã e Israel?

Bitcoin pode se tornar um porto seguro durante conflito entre Irã e Israel?

Bitcoin recuou para US$ 60 mil após ataques com mísseis do Irã contra Israel; será que a criptomoeda resistirá diante dos temores de uma guerra total?