Hackers especializados em finanças descentralizadas (DeFi) atacaram nesta terça-feira (18) a rede BNB Chain, forçando a suspensão de seu pool de liquidez de tokens no PancakeSwap.
O ataque foi inicialmente sinalizado pela empresa de segurança de blockchain SlowMist, que revelou que a exploração da plataforma de criação de memecoins, Four.meme, foi realizada usando uma vulnerabilidade de contrato inteligente.
O invasor explorou uma falha crítica no mecanismo de liquidez da Four.Meme que permitiu que eles “ignorassem as restrições de transferência e manipulassem os preços do pool de liquidez”, disse a empresa de auditoria de smart contracts QuillAudits ao Decrypt.
Esta é a segunda vez nos últimos dois meses que a Four.Meme sofre um ataque, que anteriormente resultou em US$ 183 mil roubados devido a uma vulnerabilidade diferente que permitiu que um criminoso manipulasse a liquidez na PancakeSwap.
Como foi o hack na Four.meme
Nesta ocasião, o invasor adquiriu primeiro uma pequena quantidade de tokens Four.Meme antes do lançamento oficial usando a função “0x7f79f6df”.
“Em vez de mantê-los ou transferi-los tradicionalmente, eles enviaram os tokens para um endereço inexistente do PancakeSwap Pair”, disse o relatório da QuillAudits.
Como muitas exchanges descentralizadas (Dex), a PancakeSwap, que recentemente teve um aumento de popularidade, precisa de um endereço especial (chamado ‘pair address’) para combinar os dois tokens em um par de negociação (por exemplo, tokens Four.Meme e BNB).
Normalmente, esse endereço é criado quando os tokens são lançados e negociados.
Nesse caso, o invasor enviou os tokens para um endereço que ainda não existia, o que significa que o par do token Four.Meme no PancakeSwap não havia sido criado.
Como o endereço do par ainda não existia, o invasor conseguiu criá-lo ele mesmo. Ao fazer isso, o invasor conseguiu adicionar liquidez (tokens para negociação) a um preço incorreto, o que permitiu que ele manipulasse o sistema e roubasse fundos do pool de liquidez.
O hacker retirou 69 BNB de uma carteira FixedFloat “0x47…c95,” três dias antes do ataque. Eles implantaram vários contratos para facilitar o ataque.
O atacante então enviou os 67,3 BNB roubados para um endereço de carteira, “0x4c…805,” e 205 BNB para outro, “0x88…456,” observou o relatório. As 205 BNB foram então divididas e movidos entre quatro carteiras.
Leia Também
Após o ataque à plataforma memecoins, os fundos roubados de mais de US$ 174 mil foram movidos entre várias carteiras para ofuscar o rastro.
O hacker então lavou os fundos roubados por meio do contrato $BROCCOLLI 3 da PancakeSwap, disse a QuillAudits.
Um total de 192 WBNB foram trocados e distribuídos em vários contratos PancakeSwap, incluindo PancakeSwap DCA 32 (0x77C1dF8…), PancakeSwap MuBrocolli (0xcaC54d89…) e outros.
Resposta da Four.Meme
Em resposta à violação, o Four.Meme interrompeu a função de lançamento e emitiu uma declaração de emergência.
“Nós compensaremos os usuários afetados e forneceremos um formulário de envio de danos para coletar informações relevantes”, tuitou a plataforma no dia de hoje.
Algumas horas depois, o Four.Meme anunciou que as operações foram retomadas após a plataforma realizar verificações de segurança, solicitando que os usuários afetados registrassem suas reclamações.
A plataforma Four.Meme viu um aumento significativo na atividade desde sua criação, com um total de 74.607 tokens exclusivos sendo lançados na plataforma, de acordo com dados da Dune Analytics.
Embora a plataforma tenha tomado medidas para evitar incidentes futuros, ambos os ataques apontam para os riscos contínuos enfrentados pelas plataformas descentralizadas, especialmente aquelas que lidam com grandes quantidades de liquidez nos mercados de memecoins.
No mês passado, a zkLend, uma plataforma descentralizada de empréstimo de dinheiro na blockchain Starknet, foi vítima de um grande ataque, perdendo US$ 9,5 milhões em criptomoedas.
Mais tarde, a zkLend ofereceu ao hacker uma recompensa de 10% (cerca de 3.300 ETH, no valor aproximado de US$ 8,78 milhões) em troca da devolução dos fundos roubados.
* Traduzido e editado com autorização do Decrypt.
- Você tem dúvidas de como montar uma carteira estratégica? O MB quer ajudar você com um portfólio pronto, com as principais criptomoedas relacionadas à inteligência artificial. Clique aqui para responder uma pesquisa e ajudar o MB nesta construção.
