Hacker com dinheiro nas mãos
Shutterstock

O protocolo DeFi de empréstimos de criptoativos, Sturdy Finance, foi atingido por uma exploração de hackers nesta segunda-feira (12) que drenou 442 ETH (no valor de cerca de US$ 780 mil ou quase R$ 4 milhões) da plataforma.

A exploração foi anunciada por empresas de segurança blockchain como a PeckShield e a BlockSec; a equipe da Sturdy Finance reconheceu o hack e interrompeu a atividade na plataforma DeFi enquanto investigava o problema. 

Publicidade

O protocolo permite empréstimos contra tokens de provedores de liquidez de exchanges como Curve e Balancer como garantia. O aplicativo descentralizado oferece dois mercados de empréstimos — stablecoins atreladas ao Ethereum e ao dólar.

Um membro da equipe principal da Sturdy Finance, pgpsam, apontou no canal Discord do projeto que “com base na nossa investigação até agora, o mercado de stablecoins não foi afetado.”

No entanto, enquanto a atividade permanece pausada, os usuários de stablecoins e ETH não podem sair dos pools da Sturdy.

Pgpsam acrescentou: “Nossa prioridade agora é entender a exploração/como mitigar isso e a comunicação com o hacker.” 

Como aconteceu o ataque? 

Os relatórios iniciais indicam que o invasor manipulou o oráculo de preços de um pool de garantias e desviou fundos da Sturdy. 

Publicidade

A equipe da BlockSec apresentou o relatório sobre o ataque no Twitter nesta segunda-feira, observando que foi um típico ataque de “redundância somente-leitura do protocolo Balancer”. 

Um ataque de redundância acontece quando uma função de contrato inteligente interage com outro contrato, e esse outro contrato chama de volta ao primeiro contrato antes de terminar sua execução.

Neste caso, o invasor chamou repetidamente o pool B-stETH-STABLE antes que as transações anteriores fossem executadas, fazendo com que o oráculo de preços do pool funcionasse mal e refletisse um aumento de três vezes. 

O hacker tinha usado B-stETH-STABLE como garantia para fazer empréstimos na Sturdy. À medida que o seu preço aumentava, o hacker retirava garantias do pool da Sturdy. Neste ponto, o valor real de suas garantias é de um terço de seu valor inflacionado, permitindo que o hacker se beneficie da diferença. 

Publicidade

Ele tomou um empréstimo instantâneo da Aave de 50 mil wstETH e 60 mil WETH (no valor de cerca de US$ 191 milhões) para conduzir o ataque. 

A PeckShield relatou que os exploradores moveram os fundos roubados via Tornado Cash, um misturador de criptomoedas que adiciona uma camada de privacidade nas transações, obscurecendo a ligação entre o remetente e os endereços do destinatário.

O governo dos EUA sancionou o Tornado Cash no ano passado devido ao seu uso pelo grupo de hackers norte-coreano Lazarus.

*Traduzido por Gustavo Martins com autorização do Decrypt.

Talvez você queira ler
Imagem da matéria: Standard Chartered prevê qual preço o Bitcoin vai bater em 2024

Standard Chartered prevê qual preço o Bitcoin vai bater em 2024

O banco multinacional britânico voltou à sua posição de alta em relação ao Bitcoin à medida que mais sinais se tornam verdes
Fachada de um prédio da BlackRock na Califórnia, EUA

BlackRock já recebeu US$ 100 mil em investimento inicial no seu ETF de Bitcoin à vista

O investimento inicial será usado para a criação de unidades do ETF, que depois serão vendidas para os clientes finais
barras de ouro

Tokenização do ouro: onde o passado e o futuro se encontram

Como diria um grande comunicador brasileiro, barras de ouro valem mais do que dinheiro. No mundo digital, também
Smartphone mostra logotipo da Receita Federal; ao fundo, um leão

Contadora pioneira do mercado de criptomoedas vai revelar segredos da profissão em série de eventos

Objetivo é  proporcionar a contadores e profissionais da área insights exclusivos que transcendem relatórios tradicionais