As Finanças Descentralizadas (DeFi) se referem a aplicações blockchain que removem intermediários de produtos e serviços financeiros, como empréstimos, poupança e swaps. Embora haja grandes benefícios neste novo setor econômico também há diversos riscos.
Partindo do preceito que qualquer pessoa pode criar um protocolo DeFi e programar alguns códigos autônomos, falhas no código são comuns. Em DeFi, existem muitos agentes sem escrúpulos prontos e capazes de explorar essas falhas. Quando isso acontece, milhões de dólares estão em risco.
Em 2021, usuários DeFi tiveram US$ 10,5 bilhões roubados, de acordo com um relatório publicado pela Elliptic em novembro. No entanto, conforme demonstrado nesta lista do Decrypt das maiores invasões em DeFi, esse número cresceu absurdamente. Abaixo, são listados os valores dos fundos no momento do incidente.
12. Grim Finance: US$ 30 milhões
Geralmente, aplicações descentralizadas (ou dapps) se inspiram nas blockchains em que são desenvolvidas.
Assim, o ecossistema Avalanche é repleto de referências à neve, como Snowtrace, Blizz e Defrost (ou “vestígios na neve”, abreviação de “nevasca” e “descongelar”, respectivamente, em tradução livre).
Enquanto isso, o ecossistema Fantom parece uma festa de Halloween em blockchain. A situação fica mais “fúnebre” quando as coisas dão errado, como foi o caso de Grim Finance, um protocolo que otimiza rendimentos.
Em dezembro de 2021, o protocolo sofreu um ataque de reentrância – tipo de invasão em que um hacker falsifica depósitos adicionais em um “vault” (pool de fundos no contrato autônomo) enquanto uma transação anterior ainda precisa ser processada.
O invasor enganou o protocolo para liberar US$ 30 milhões em tokens Fantom.
Geralmente, protocolos DeFi utilizam proteções de reentrância – partes de um código que evitam tais ataques.
O relatório de auditoria sobre o Grim Finance pela Solidity Finance erroneamente afirmou que o protocolo tinha implementado proteções de reentrância – servindo como um lembrete de que auditorias não são garantia de que invasões não possam acontecer.
11. Meerkat Finance: US$ 31 milhões
Às vezes, não demora muito para que um protocolo DeFi sofra sua primeira invasão. Meerkat Finance, protocolo de empréstimo desenvolvido no Binance Smart Chain (BNB Chain), perdeu US$ 31 milhões em fundos de usuários um dia após ter sido lançado (em março de 2021).
O invasor chamou uma função no contrato que tornou seu endereço no dono do vault, roubando US$ 13,96 milhões na stablecoin Binance Dolar (BUSD) do projeto e mais 73 mil BNBs (o token nativo da Binance). Na época, o roubo foi equivalente a US$ 17,4 milhões.
Muitos usuários alegam que foi um trabalho interno: uma “puxada de tapete” (ou “rug pull”) pelos desenvolvedores do projeto. Meerkat negou as alegações.
10. Vee Finance: US$ 35 milhões
Em 2021, houve um aumento de atividades no Avalanche, também atraindo mal-intencionados que queriam se aproveitar do crescente ecossistema da rede Blockchain.
Em setembro de 2021, uma semana após a plataforma Vee Finance ter comemorado um marco histórico de US$ 300 milhões no valor total de ativos bloqueados, sofreu o que continua sendo a maior invasão à rede Avalanche.
A invasão aconteceu, em grande parte, porque o recurso de negociação alavancada do Vee Finance dependia do preço de tokens fornecidos por Pangolin, o principal protocolo de liquidez da Avalanche.
Para se aproveitar do recurso, o invasor criou sete pares de negociação no Pangolin, forneceu liquidez e realizou trades alavancados no Vee. Isso permitiu que roubassem US$ 35 milhões em criptomoedas do protocolo.
Em um tuíte direcionado ao “querido(a) Sr./Sra. 0x**95BA”, o protocolo exigiu que o invasor devolvesse os fundos como parte de um programa de caça a bugs, que permitiria que o invasor ficasse com parte do dinheiro roubado.
No entanto, o invasor do Vee Finance não demonstrou interesse em devolver os fundos.
9. PancakeBunny: US$ 45 milhões
Cripto sempre passa por modas intensas, mas passageiras. Em 2021, a BNB Chain (antiga BSC) era a maior tendência do setor DeFi, principalmente para usuários de varejo, devido a suas baixas taxas de rede.
Mas BNB Chain também foi alvo de muitos esquemas e hacks. O maior deles aconteceu em maio de 2021, no protocolo de “yield farming” (estratégia de maximização de lucros) PancakeBunny.
Um hacker manipulou o algoritmo de preço do PancakeBunny por meio de uma série de ataques de empréstimo-relâmpago, fazendo o preço de BUNNY, o token nativo do protocolo, disparar.
O hacker fugiu com US$ 45 milhões ao comprar BUNNY por um baixo valor e o vendendo por preços artificialmente inflacionados.
Empréstimos-relâmpago permitem que você realize empréstimos instantâneos, contanto que você pague de volta na mesma transação. Apesar de serem úteis em estratégias de arbitragem, são amplamente implementadas por agentes maliciosos para explorar vulnerabilidades em protocolos DeFi.
8. bZx: US$ 55 milhões
bZx, o protocolo de empréstimos entre diversos blockchains, foi hackeado em novembro de 2021 após uma “chave privada” ter sido comprometida. O protocolo perdeu um total de US$ 55 milhões alocados ao BSC e Polygon. Mas bZx já havia sofrido outras duas invasões.
Apesar de ataques de empréstimo-relâmpago serem uma tática comum de invasão às DeFi, o bZx é um especialista nesse assunto. Tornou-se vítima do ataque em fevereiro de 2020, que visava sua plataforma de negociação em margem Fulcrum.
O hacker roubou 1,3 mil em wrapped ethers (WETH) – na época, equivalentes a US$ 366 mil. WETH é uma criptomoeda que possui paridade ao preço do ether.
Em outra invasão em setembro de 2020, bZx perdeu 30% dos fundos bloqueados em seus vaults, equivalentes a US$ 8 milhões. Porém, usuários com posições abertas em margem não foram impactados pois, segundo informado pelo protocolo, essa quantia foi debitada do fundo de seguros do bZx.
7. Badger DAO: US$ 120 milhões
Não é sempre que uma vulnerabilidade em um contrato autônomo evapora milhões de um projeto DeFi.
Em dezembro de 2021, a Badger DAO, uma ponte (ou “bridge”) entre a rede Bitcoin e o setor DeFi, perdeu US$ 120 milhões após golpistas enganarem membros do Badger DAO para que aprovassem transações maliciosas, permitindo que invasores controlassem os fundos de vaults dos usuários e movimentassem os ativos.
A empresa de segurança em blockchain Peckshield contou ao Decrypt que os contratos do protocolo estavam seguros da invasão e que apenas a interface de usuário tinha sido afetada.
6. Cream Finance: US$ 130 milhões
Em outubro de 2021, o protocolo de empréstimos Cream Finance perdeu US$ 130 milhões em um ataque de empréstimo-relâmpago – registrando o terceiro ataque sofrido pelo protocolo.
Leia Também
No caso do Cream Finance, o hacker de empréstimos-relâmpago conseguiu se aproveitar de uma vulnerabilidade de precificação ao realizar, repetidas vezes, empréstimos-relâmpago com diferentes endereços Ethereum.
Cream já tinha passado por isso antes. Em agosto de 2021, um hacker roubou cerca de US$ 25 milhões em outro ataque de empréstimo-relâmpago que tinha AMP, o token nativo da Flexa Network, como alvo.
Em um ataque do mesmo modo, em fevereiro de 2021, hackers roubaram US$ 37,5 milhões do pool do protocolo.
5. Vulcan Forged: US$ 140 milhões
“Play to earn” é uma das novas tendências em cripto, mas não está livre de antigos truques e armadilhas, principalmente os que envolvem recursos centralizados.
Em dezembro de 2021, Vulcan Forged, uma plataforma “play to earn” na Polygon, aprendeu essa lição da pior forma quando seus usuários perderam US$ 140 milhões.
De acordo com um relatório “post mortem”, um hacker obteve acesso às credenciais das Venly, as carteiras centralizadas de usuários da plataforma, para acessar as chaves privadas de 96 carteiras cripto.
Em seguida, o hacker as usou para obter as chaves privadas do MyForge, recurso de portfólio de ativos da plataforma, e fugiu com 4,5 milhões em PYR, os tokens nativos da Vulcan Forged.
Em um anúncio à comunidade, Jamie Thomson, CEO da Vulcan Forged, disse: “No futuro, é claro, vamos usar nada além de carteiras descentralizadas para que nunca mais tenhamos que lidar com esse problema novamente”.
4. Compound: US$ 150 milhões
Assim como muitos protocolos DeFi, o protocolo de empréstimos Compound possui um token de governança: COMP. O protocolo distribuiu tokens a usuários sob condições específicas.
Em outubro de 2021, foi informado que Compound tinha uma falha (“o segredo mais bem guardado em DeFi”) que permitia que mutuários resgatassem mais do que deveriam na porção de COMP destinada a eles.
A falha envolvia dois de seus vaults. Usuários chamavam uma função específica – drip() – no vault Reservoir, que reabastecia outro vault, Comptroller. Esse vault automaticamente redistribuiria grandes quantias de COMP para os endereços errados. A vulnerabilidade foi resultado de um erro apresentado em uma atualização anterior do protocolo.
Após US$ 80 milhões em COMP terem sido enviados às pessoas erradas, a equipe agiu para implementar um conserto. Porém, antes que qualquer conserto fosse apresentado, o protocolo exigiu a aprovação de uma proposta de governança — criada em 2 de outubro e finalmente aprovada em 9 de outubro. Enquanto a comunidade debatia, os vaults perderam mais US$ 68,8 milhões.
Como Robert Leshner, fundador do Compound, tentou e conseguiu o dinheiro de volta? Tuitando: “Qualquer um que devolver COMP à comunidade é um alienígena ‘bombadão’; e se um esquadrão de alienígenas ‘bombadões’ me convocar, vou aparecer”.
Quase a metade dos fundos foi devolvida.
3. Wormhole: US$ 326 milhões
À medida que existem cada vez mais blockchains de primeira camada com projetos DeFi desenvolvidos neles, existe um grande interesse por usuários pela transferência de fundos entre blockchains.
Pontes entre blockchains atendem essa demanda, mas também trazem novas vulnerabilidades. O incidente entre blockchains mais prejudicial aconteceu em janeiro de 2021, quando Wormhole, uma ponte popular, perdeu US$ 320 milhões em WETH.
O hacker tinha alvo da ponte no Solana, onde usuários primeiro precisam bloquear ethers em um contrato autônomo para obter uma quantia equivalente em wrapped ether. O hacker conseguiu descobrir uma forma de emitir WETH sem alocar ETH na Wormhole.
O Jump Trading Group, stakeholder no desenvolvimento da Wormhole, tomou a iniciativa de reembolsar os cofres de ether na Wormhole e fazê-la funcionar novamente.
2. Ronin: US$ 552 milhões
Axie Infinity, o jogo play to earn impulsionado por tokens não fungíveis (ou NFTs), foi uma das histórias cripto de maior sucesso em 2021.
Em 23 de março, foi vítima de um dos maiores hacks na história da indústria cripto, com estimados US$ 552 milhões em criptomoedas roubados da ponte à sua sidechain (blockchain paralela) Ronin usando “chaves privadas hackeadas”.
No momento em que a invasão foi divulgada pela Sky Mavis, desenvolvedora do Axie Infinity (uma semana depois), o valor dos fundos já havia chegado a US$ 622 milhões.
De acordo com um relatório da Sky Mavis, o invasor usou “uma outra entrada por meio de nosso nó RPC livre de gas, aproveitado para obter a assinatura para o validador da Axie DAO”.
Ao explicar que, em novembro de 2021, a Sky Mavis recorreu à Axie DAO para distribuir transações gratuitas por conta da alta carga de usuários, o relatório acrescentou que: “A Axie DAO concedeu permissão para que a Sky Mavis assinasse diversas transações em seu nome. Isso foi suspenso em dezembro de 2021, mas a permissão não foi revogada”.
O invasor conseguiu assinar transações de cinco dos nove nós-validadores da rede Ronin, incluindo o nó da Axie DAO e quatro dos próprios nós da Sky Mavis. Assim, o hacker forjou transações e resgatou 173,6 mil WETH e 25,5 milhões USDC, totalizando cerca de US$ 622 milhões.
1. Poly Network: US$ 611 milhões
O hack à rede Polygon continua sendo o maior no setor cripto – e não apenas no setor DeFi. Felizmente, a saga que começou em 10 de agosto de 2021 terminou bem três dias depois, após uma série de estranhas reviravoltas.
O roubo começou quando um invasor se aproveitou de uma vulnerabilidade na “chamada de contrato” (pedaços de código que movem o protocolo) da Poly Network.
O hacker rapidamente fugiu com US$ 611 milhões em diversas criptomoedas, fazendo com que Poly publicasse uma carta de desespero com a saudação “Querido hacker”.
A tentativa de comunicação e posteriores iniciativas de sensibilização funcionaram. O protocolo ofereceu uma recompensa de US$ 500 mil e a oportunidade de o hacker se tornar seu consultor-chefe de segurança.
Mas em uma sessão de perguntas e respostas, o hacker explicou que a invasão só foi feita para ensinar uma lição à Poly Network. A devolução dos fundos roubados foi “sempre o plano”, afirmou.
A empresa de segurança em criptomoedas SlowMist disse ter encontrado os marcadores de identidade do invasor e que a invasão era “provavelmente um ataque organizado, preparado e planejado há tempos”.
“Agora, todo mundo sente um cheirinho de conspiração”, disse o hacker, negando ser um envolvido no projeto: “Mas quem sabe?”.
*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.
