A plataforma de ativos do mundo real baseada em Ethereum, Zoth, sofreu um ataque que resultou na perda de US$ 8,85 milhões. Especialistas em segurança acreditam que o hack — o segundo sofrido pela empresa em um mês — ocorreu devido ao vazamento de uma chave privada.
Na manhã desta sexta-feira (21), um contrato proxy da Zoth foi atualizado por um endereço considerado “suspeito” pela empresa de segurança Cyvers. Logo depois, US$ 8,85 milhões em stablecoin USD0++ foram transferidos do contrato proxy para a carteira do invasor. Em seguida, os fundos foram trocados por DAI e movidos para outro endereço. Mais tarde, o invasor trocou os fundos roubados por 4.223 ETH (equivalente a US$ 8.300.800).
“Nossa equipe está investigando ativamente a situação junto com nossos parceiros de segurança”, disse um porta-voz da Zoth ao site Decrypt. “Queremos assegurar que estamos tomando todas as medidas necessárias para mitigar o impacto e resolver o problema.”
Um contrato proxy é um contrato inteligente que, entre outras funções, encaminha chamadas e fundos para outros contratos chamados “contratos de implementação”, a fim de facilitar o funcionamento de negócios — algo muito comum no universo DeFi.
Nesse ataque, parece que o invasor conseguiu acesso à chave privada do contrato proxy, o que permitiu que ele o atualizasse, alterando o endereço do contrato de implementação para sua própria carteira. Isso possibilitou que todos os fundos armazenados no contrato fossem enviados diretamente ao invasor.
“Esse tipo de ataque geralmente ocorre quando um invasor obtém acesso não autorizado às chaves privadas que controlam uma carteira ou contrato inteligente, permitindo a transferência de fundos para fora do sistema”, explicou um porta-voz da empresa PeckShield ao Decrypt.
“O invasor obteve acesso administrativo, provavelmente por meio de uma chave vazada ou uma exploração”, afirmou Hakan Unal, Cientista Sênior de Blockchain da Cyvers. Ele acrescentou que é provável que a Zoth possua vários contratos proxy, como um outro que contém US$ 12,28 milhões em USYC — o que significa que mais fundos podem estar em risco caso compartilhem o mesmo acesso administrativo.
Leia Também
A Zoth não comentou como a chave privada do contrato caiu nas mãos do invasor, mas informou ao Decrypt que divulgará uma atualização assim que concluir sua investigação.
A Cyvers sugeriu que a implementação de monitoramento em tempo real — com alertas para alterações em funções administrativas ou atualizações de contrato — poderia ter ajudado a evitar esse ataque.
Este parece ser o segundo ataque sofrido pelo projeto DeFi no período de um mês. Em 6 de março, a Zoth perdeu US$ 285.000 devido a uma exploração em um pool de liquidez, que permitiu ao invasor cunhar ZeUSD sem depositar a garantia necessária, segundo a empresa de auditoria de contratos inteligentes Solidity Scan.
A Zoth não respondeu ao pedido de comentário do Decrypt sobre esse segundo ataque.
* Traduzido e editado com autorização do Decrypt.
- Você tem dúvidas de como montar uma carteira estratégica? O MB quer ajudar você com um portfólio pronto, com as principais criptomoedas relacionadas à inteligência artificial. Clique aqui para responder uma pesquisa e ajudar o MB nesta construção.
