Hacker com dinheiro nas mãos
Shutterstock

O protocolo DeFi de empréstimos de criptoativos, Sturdy Finance, foi atingido por uma exploração de hackers nesta segunda-feira (12) que drenou 442 ETH (no valor de cerca de US$ 780 mil ou quase R$ 4 milhões) da plataforma.

A exploração foi anunciada por empresas de segurança blockchain como a PeckShield e a BlockSec; a equipe da Sturdy Finance reconheceu o hack e interrompeu a atividade na plataforma DeFi enquanto investigava o problema. 

Publicidade

O protocolo permite empréstimos contra tokens de provedores de liquidez de exchanges como Curve e Balancer como garantia. O aplicativo descentralizado oferece dois mercados de empréstimos — stablecoins atreladas ao Ethereum e ao dólar.

Um membro da equipe principal da Sturdy Finance, pgpsam, apontou no canal Discord do projeto que “com base na nossa investigação até agora, o mercado de stablecoins não foi afetado.”

No entanto, enquanto a atividade permanece pausada, os usuários de stablecoins e ETH não podem sair dos pools da Sturdy.

Pgpsam acrescentou: “Nossa prioridade agora é entender a exploração/como mitigar isso e a comunicação com o hacker.” 

Como aconteceu o ataque? 

Os relatórios iniciais indicam que o invasor manipulou o oráculo de preços de um pool de garantias e desviou fundos da Sturdy. 

Publicidade

A equipe da BlockSec apresentou o relatório sobre o ataque no Twitter nesta segunda-feira, observando que foi um típico ataque de “redundância somente-leitura do protocolo Balancer”. 

Um ataque de redundância acontece quando uma função de contrato inteligente interage com outro contrato, e esse outro contrato chama de volta ao primeiro contrato antes de terminar sua execução.

Neste caso, o invasor chamou repetidamente o pool B-stETH-STABLE antes que as transações anteriores fossem executadas, fazendo com que o oráculo de preços do pool funcionasse mal e refletisse um aumento de três vezes. 

O hacker tinha usado B-stETH-STABLE como garantia para fazer empréstimos na Sturdy. À medida que o seu preço aumentava, o hacker retirava garantias do pool da Sturdy. Neste ponto, o valor real de suas garantias é de um terço de seu valor inflacionado, permitindo que o hacker se beneficie da diferença. 

Publicidade

Ele tomou um empréstimo instantâneo da Aave de 50 mil wstETH e 60 mil WETH (no valor de cerca de US$ 191 milhões) para conduzir o ataque. 

A PeckShield relatou que os exploradores moveram os fundos roubados via Tornado Cash, um misturador de criptomoedas que adiciona uma camada de privacidade nas transações, obscurecendo a ligação entre o remetente e os endereços do destinatário.

O governo dos EUA sancionou o Tornado Cash no ano passado devido ao seu uso pelo grupo de hackers norte-coreano Lazarus.

*Traduzido por Gustavo Martins com autorização do Decrypt.

VOCÊ PODE GOSTAR
Empresário dono da Fiji Solutions, Bueno Aires, falando ao microfone

Justiça reduz em 15 anos pena de criador da pirâmide financeira Fiji Solutions

A empresa captava recursos sem autorização da CVM enquanto prometia pagamentos expressivos por meio de operações com criptomoedas
Imagem da matéria: A tokenização depende de uma mudança cultural para decolar de fato | Opinião

A tokenização depende de uma mudança cultural para decolar de fato | Opinião

O que está travando o avanço da tokenização? A resposta está menos nas máquinas e mais nas pessoas
token do trump

Rede social de Trump quer lançar token utilitário para programa de recompensas

A plataforma social fundada por Donald Trump está lançando um sistema de recompensas com planos para um token utilitário
Imagem da matéria: MB vai tokenizar R$ 1 bilhão em ativos financeiros em parceria com Ripple 

MB vai tokenizar R$ 1 bilhão em ativos financeiros em parceria com Ripple 

Utilizando a blockchain XRP Ledger, iniciativa bilionária conecta ativos tokenizados a uma rede internacional