Na última quinta-feira (14), um hacker roubou US$ 16 milhões do projeto de Finanças Descentralizadas (DeFi) Indexed Finance. Agora, a equipe do protocolo afirma ter descoberto a identidade do invasor.
Indexed Finance é um projeto DeFi desenvolvido na rede Ethereum que produz tokens que rastreiam índices de mercado. Um hacker roubou os ativos que estavam servindo de lastro para o valor dos tokens de índice ao encontrar uma vulnerabilidade nos contratos autônomos do protocolo.
O ataque foi algo típico nas invasões ao setor DeFi: o hacker obteve vantagem do mecanismo de empréstimos-relâmpago ao sobrecarregar o protocolo com novos ativos. Isso fez com que o preço dos tokens indexados caísse e, em seguida, o invasor emitiu novos tokens e realizou os saques.
Agora, DEFI5 e CC10, dois dentre seis ativos do protocolo, (ambos são tokens de índice que rastreiam grandes projetos DeFi) perderam grande parte do seu valor.
DEF15 caiu 85% uma hora após o hack (de US$ 88,73 para US$ 3,67, de acordo com dados do site CoinGecko). CC10 perdeu 98% de seu valor; antes do hack, era negociado a US$ 62,50, mas chegou a cair para US$ 0,74.
Três outros tokens indexados (DEGEN, NFTP e ORCL5) não foram afetados, de acordo com Laurence Day, 35, contribuidor e membro da Indexed DAO, em entrevista ao Decrypt.
O sexto ativo, FFF, um metaindice que contém os tokens DEFI5 e CC10, foi bastante afetado e precisará ser desativado na forma em que está. O desenvolvedor acrescentou que será apresentado um plano de compensação para as vítimas do hack.
Os membros do projeto identificaram o hacker na última sexta-feira (15) porque ele não cobriu bem seus rastros “off-chain” (fora da blockchain), explicou Day.
Em seguida, a equipe deu ao invasor um ultimato: devolva os fundos até a meia-noite de sábado ou autoridades serão acionadas.
No entanto, membros da DAO suspenderam essas condições, de acordo com tuítes, pois descobriram que o hacker era “bem mais jovem do que pensávamos”.
Day contou ao Decrypt que a equipe do projeto estava em uma “situação absurdamente tensa” e ainda estava pensando no que fazer em seguida. Ele não contou ao Decrypt se estavam negociando com o hacker.
No entanto, ele disse que diversas pessoas na equipe do protocolo verificaram quem era o hacker, então cabia a ele devolver os fundos. “Esta é uma escolha que agora está nas mãos do invasor”, explicou ele. Day não informou se a equipe entraria em contato com as autoridades.
Finanças Descentralizadas (DeFi) é um termo guarda-chuva para projetos que querem automatizar ferramentas financeiras tradicionais.
Visam fornecer empréstimos, juros e “swaps” de ativos, sem a intervenção de bancos ou outros intermediários, por meio de contratos autônomos (códigos de programação com instruções embutidas).
Grande parte é desenvolvida no Ethereum, blockchain que serve de lar para a segunda maior criptomoeda em termos de capitalização de mercado.
No entanto, DeFi é uma indústria de experimentos, pois os protocolos ainda são muito novos e, dessa forma, estão propensos a sofrer ataques. Indexed não é o primeiro protocolo a sofrer com uma invasão tão grande.
Este ano, a lista de hacks ao meio DeFi é grande. Em setembro, a pNetwork perdeu sozinha US$ 12,5 milhões e um projeto de tokens não fungíveis (ou NFTs) sofreu uma invasão de US$ 35 milhões. Em agosto, um hacker roubou US$ 25 milhões da plataforma de tomada e concessão de empréstimos Cream Finance.
Muitos projetos conseguiram recuperar parte dos fundos perdidos. No entanto, os grandes hacks que acontecem todo mês são um lembrete de que o setor é novo, experimental e arriscado.
Laurence acrescentou que o setor DeFi precisa passar por auditorias para evitar hacks, além de acrescentar que “a quantidade de talentos no setor é absurdamente escassa”.
*Traduzido e editado por Daniela Pereira do Nascimento com autorização da Decrypt.co
