Belt Finance é o mais recente projeto de finanças descentralizadas (DeFi) baseado na Binance Smart Chain a perder milhões de dólares depois que um hacker desconhecido realizou um chamado ataque de empréstimo instantâneo ao protocolo.
O Belt Finance é uma exchange descentralizada semelhante ao Uniswap, mas foi otimizada para transferências de stablecoins em vez de ativos mais voláteis.
O ataque, realizado na noite de sábado, viu a pool 4Belt perder 6.234.753 BUSD, uma stablecoin atrelada ao dólar americano construída na Binance Chain. De acordo com o relatório de incidente do projeto, ele foi executado “com extrema precisão” usando um método contra o qual a equipe falhou em proteger.
Com a ajuda de um contrato inteligente que usava o PancakeSwap para empréstimos instantâneos, o invasor conseguiu explorar o pool do beltBUSD e seus protocolos de estratégia subjacentes. O hacker executou o contrato oito vezes antes de os desenvolvedores tomarem conhecimento do incidente e suspender as retiradas e depósitos e corrigir a vulnerabilidade.
Embora o ataque tenha durado apenas dez minutos, foi o suficiente para os usuários do cofre do beltBUSD sofrerem uma perda de 21,36% dos fundos, enquanto os usuários do pool 4Belt perderam 5,51%, disse a equipe. O custo combinado do ataque foi de 50.030.452 BUSD, com 43.795.699 BUSD usado como taxas de transação.
De acordo com o Belt Finance, as retiradas e depósitos de fundos serão retomados nas próximas 24–48 horas. A equipe também trabalha em um plano de compensação que será detalhado nas próximas 48 horas.
O que é um flash loan attack?
Um ataque de empréstimo instantâneo (flash loan attack) é um tipo de ataque DeFi em que um hacker toma um empréstimo instantâneo de um protocolo de empréstimo e utiliza uma série de truques para manipular o mercado a seu favor.
Os empréstimos instantâneos são empréstimos sem garantia que o mutuário faz e paga em uma única transação. Eles são úteis nesses tipos de ataques porque permitem fácil acesso ao capital – em apenas alguns segundos, o invasor pode pedir capital emprestado, explorar uma vulnerabilidade de milhões de dólares e pagar o empréstimo inicial, tudo em uma única transação. Se, no entanto, o empréstimo não for reembolsado, toda a transação será revertida.
Barato e fácil de usar, eles geralmente envolvem o uso de vários protocolos DeFi para ocultar os rastros e podem ser executados em segundos.
Desde 2020, ataques instantâneos de empréstimos resultaram em várias centenas de milhões de dólares em perdas para vários protocolos DeFi e parecem estar ganhando mais popularidade entre os cibercriminosos, com mais projetos baseados na Binance Chain como alvo nas últimas semanas.
No início deste mês, o PancakeBunny, uma bolsa descentralizada (DEX) construída no BSC, foi vítima desse mesmo tipo de ataque e perdeu US$ 45 milhões em fundos dos usuários. Poucos dias depois, o BurgerSwap foi alvo de um ataque semelhante, com um total de US$ 7,2 milhões drenados de sua carteira.
Em outras ocasiões neste ano, os projetos BSC, incluindo Uranium Finance, bEarn, Spartan Protocol, Autoshark e Merlin Labs, foram vítimas de uma variedade de exploits diferentes.
No entanto, pode haver alguma luz no fim do túnel para protocolos baseados em BSC; na semana passada, a empresa de inteligência cripto CipherTrace adicionou suporte para o blockchain, fornecendo ferramentas para detectar atividades suspeitas na cadeia.
*Traduzido e editado com autorização da Decrypt.co