Hacker com dinheiro nas mãos
Shutterstock

O protocolo DeFi de empréstimos de criptoativos, Sturdy Finance, foi atingido por uma exploração de hackers nesta segunda-feira (12) que drenou 442 ETH (no valor de cerca de US$ 780 mil ou quase R$ 4 milhões) da plataforma.

A exploração foi anunciada por empresas de segurança blockchain como a PeckShield e a BlockSec; a equipe da Sturdy Finance reconheceu o hack e interrompeu a atividade na plataforma DeFi enquanto investigava o problema. 

Publicidade

O protocolo permite empréstimos contra tokens de provedores de liquidez de exchanges como Curve e Balancer como garantia. O aplicativo descentralizado oferece dois mercados de empréstimos — stablecoins atreladas ao Ethereum e ao dólar.

Um membro da equipe principal da Sturdy Finance, pgpsam, apontou no canal Discord do projeto que “com base na nossa investigação até agora, o mercado de stablecoins não foi afetado.”

No entanto, enquanto a atividade permanece pausada, os usuários de stablecoins e ETH não podem sair dos pools da Sturdy.

Pgpsam acrescentou: “Nossa prioridade agora é entender a exploração/como mitigar isso e a comunicação com o hacker.” 

Como aconteceu o ataque? 

Os relatórios iniciais indicam que o invasor manipulou o oráculo de preços de um pool de garantias e desviou fundos da Sturdy. 

Publicidade

A equipe da BlockSec apresentou o relatório sobre o ataque no Twitter nesta segunda-feira, observando que foi um típico ataque de “redundância somente-leitura do protocolo Balancer”. 

Um ataque de redundância acontece quando uma função de contrato inteligente interage com outro contrato, e esse outro contrato chama de volta ao primeiro contrato antes de terminar sua execução.

Neste caso, o invasor chamou repetidamente o pool B-stETH-STABLE antes que as transações anteriores fossem executadas, fazendo com que o oráculo de preços do pool funcionasse mal e refletisse um aumento de três vezes. 

O hacker tinha usado B-stETH-STABLE como garantia para fazer empréstimos na Sturdy. À medida que o seu preço aumentava, o hacker retirava garantias do pool da Sturdy. Neste ponto, o valor real de suas garantias é de um terço de seu valor inflacionado, permitindo que o hacker se beneficie da diferença. 

Publicidade

Ele tomou um empréstimo instantâneo da Aave de 50 mil wstETH e 60 mil WETH (no valor de cerca de US$ 191 milhões) para conduzir o ataque. 

A PeckShield relatou que os exploradores moveram os fundos roubados via Tornado Cash, um misturador de criptomoedas que adiciona uma camada de privacidade nas transações, obscurecendo a ligação entre o remetente e os endereços do destinatário.

O governo dos EUA sancionou o Tornado Cash no ano passado devido ao seu uso pelo grupo de hackers norte-coreano Lazarus.

*Traduzido por Gustavo Martins com autorização do Decrypt.

VOCÊ PODE GOSTAR
moeda cardano ADA com graficos ao fundo

Charles Hoskinson diz que hard fork ‘Chang’ será marco na história da Cardano

Agendado para este mês de junho, a atualização Chang levará a Cardano para a versão 9.0
Ilustração de moeda NOT dourada com logotipo do jogo Notcoin do Telegram

Notcoin salta 10% após número de carteiras ativas diárias igualar com o Ethereum

Os jogos baseados em Telegram estão causando a explosão da The Open Network, com Notcoin liderando todo o mercado de criptomoedas nas últimas 24 horas
Imagem da matéria: Mt. Gox deve começar reembolsos de Bitcoin e Bitcoin Cash a partir do início de julho

Mt. Gox deve começar reembolsos de Bitcoin e Bitcoin Cash a partir do início de julho

Os participantes do mercado ficaram assustados porque temiam que os pagamentos da Mt. Gox levassem a uma liquidação iminente de Bitcoin e Bitcoin Cash
Moeda de Tether apoiada sobre outras deitadas

Tether anuncia fim de cunhagem de USDT nas redes EOS e Algorand

Segundo a Tether, a ação faz parte de uma “transição estratégica para priorizar o suporte a blockchain orientado pela comunidade”