Hacker com dinheiro nas mãos
Shutterstock

O protocolo DeFi de empréstimos de criptoativos, Sturdy Finance, foi atingido por uma exploração de hackers nesta segunda-feira (12) que drenou 442 ETH (no valor de cerca de US$ 780 mil ou quase R$ 4 milhões) da plataforma.

A exploração foi anunciada por empresas de segurança blockchain como a PeckShield e a BlockSec; a equipe da Sturdy Finance reconheceu o hack e interrompeu a atividade na plataforma DeFi enquanto investigava o problema. 

Publicidade

O protocolo permite empréstimos contra tokens de provedores de liquidez de exchanges como Curve e Balancer como garantia. O aplicativo descentralizado oferece dois mercados de empréstimos — stablecoins atreladas ao Ethereum e ao dólar.

Um membro da equipe principal da Sturdy Finance, pgpsam, apontou no canal Discord do projeto que “com base na nossa investigação até agora, o mercado de stablecoins não foi afetado.”

No entanto, enquanto a atividade permanece pausada, os usuários de stablecoins e ETH não podem sair dos pools da Sturdy.

Pgpsam acrescentou: “Nossa prioridade agora é entender a exploração/como mitigar isso e a comunicação com o hacker.” 

Como aconteceu o ataque? 

Os relatórios iniciais indicam que o invasor manipulou o oráculo de preços de um pool de garantias e desviou fundos da Sturdy. 

Publicidade

A equipe da BlockSec apresentou o relatório sobre o ataque no Twitter nesta segunda-feira, observando que foi um típico ataque de “redundância somente-leitura do protocolo Balancer”. 

Um ataque de redundância acontece quando uma função de contrato inteligente interage com outro contrato, e esse outro contrato chama de volta ao primeiro contrato antes de terminar sua execução.

Neste caso, o invasor chamou repetidamente o pool B-stETH-STABLE antes que as transações anteriores fossem executadas, fazendo com que o oráculo de preços do pool funcionasse mal e refletisse um aumento de três vezes. 

O hacker tinha usado B-stETH-STABLE como garantia para fazer empréstimos na Sturdy. À medida que o seu preço aumentava, o hacker retirava garantias do pool da Sturdy. Neste ponto, o valor real de suas garantias é de um terço de seu valor inflacionado, permitindo que o hacker se beneficie da diferença. 

Publicidade

Ele tomou um empréstimo instantâneo da Aave de 50 mil wstETH e 60 mil WETH (no valor de cerca de US$ 191 milhões) para conduzir o ataque. 

A PeckShield relatou que os exploradores moveram os fundos roubados via Tornado Cash, um misturador de criptomoedas que adiciona uma camada de privacidade nas transações, obscurecendo a ligação entre o remetente e os endereços do destinatário.

O governo dos EUA sancionou o Tornado Cash no ano passado devido ao seu uso pelo grupo de hackers norte-coreano Lazarus.

*Traduzido por Gustavo Martins com autorização do Decrypt.

VOCÊ PODE GOSTAR
Robert Kiyosaki autor do livro Pai Rico Pai Pobre posa para foto

Pai Rico: “Os melhores ativos do mundo estão na promoção”

Quem seguiu os conselhos do Pai Rico no fim de semana conseguiu comprar BTC com 8% de ‘desconto’ do preço atual
Hacker e ilustrações de correntes e cadeados, sugerindo uma quebra de segurança em blockchain

Exchange bloqueia criptomoedas de clientes após alegar que CEO foi “hackeado”

Os clientes da corretora descentralizada de criptomoedas não conseguem acessar seus fundos desde segunda-feira (3)
token do trump

Token do presidente Trump cai 75% desde a alta histórica

A queda ocorre mesmo com Donald Trump promovendo o token na rede Truth Social
Moeda de Tether (USDT) sob superfície lisa

Tether terá que vender reserva de Bitcoin para seguir novas leis dos EUA, diz JPMorgan

Dois projetos de lei nos EUA buscam regular stablecoins; se aprovados, Tether precisará ajustar suas reservas