Com uma única transação, um robô trader conseguiu lucrar 800 ETH na terça-feira (27). Mas a alegria do seu operador durou pouco: logo em seguida, um hacker foi capaz de invadir sua carteira e roubar 1.100 ETH, equivalente a R$ 7,7 milhões na atual cotação do ether.
O caso foi narrado no Twitter por Bert Miller, pesquisador que estuda o comportamento de MEV na rede Ethereum. A sigla em inglês para “valor máximo extraível” representa a técnica usada por traders que, por meio de robôs, vasculham transações de usuários comuns à espera de validação na blockchain para encontrar uma oportunidade de arbitragem.
Uma vez encontrada a transação ideal, esses robôs criam a mesma ordem e usam velocidade e dinheiro para fazer com que suas transações entrem primeiro na blockchain, deixando o trader original no prejuízo.
Foi exatamente isso que aconteceu na terça-feira (27). Segundo Miller, o robô tirou proveito de um usuário que tentava vender na exchange descentralizada (DEX) Uniswap o equivalente a US$ 1,8 milhão em cUSDC, o token que representa USDC depositado no Compound.
Com essa negociação, o robô identificou uma boa oportunidade de lucro e fez uma complexa arbitragem, usando diferentes aplicativos de DeFi do Ethereum, lucrando no total 800 ETH, cerca de R$ 5,6 milhões.
Leia também: Como robôs estão lucrando com as suas transações na rede Ethereum
Com a ação, o investidor original que queria vender seu balanço de cUSDC teve prejuízo, recebendo de volta apenas US$ 500 por causa da ação rápida do robô.
Mas a história não acaba por aí: nas horas seguintes, todos esses lucros foram desviados por um hacker.
Roubando o robô
Pouco tempo depois de lucrar à custa de outro investidor, a carteira do robô que armazenava as criptomoedas foi invadida. Ao todo, foram 1.101 ETH roubados no ataque. A invasão foi possível por erros no código do contrato que o robô usava para operar na dex dYdX. Bert Miller deu mais detalhes sobre o ataque:
“Parece que o 0xbaDc0dE [inicial do endereço do robô] não protegeu adequadamente a função que usava para executar flash loans [empréstimos relâmpagos] no dYdX. Quando você recebe um flash loan, o protocolo do qual você está emprestando chamará uma função padronizada em seu contrato. Neste caso, dYdX chamado “callFunction” em 0xbaDc0dE, mas o código infelizmente permitiu a execução arbitrária.”
Ao notar a falha, o hacker entrou em ação e usou o bug para transferir wETH do robô para fora da sua carteira.
Bate boca na blockchain
Depois disso, o operador do robô e o hacker começaram a conversar por meio de mensagens incorporadas em transações na blockchain.
“Parabéns, fomos descuidados e você com certeza conseguiu nos pegar”, escreveu a pessoa misteriosa por trás do robô, que então exigiu a devolução do dinheiro. “Devolva os fundos antes de 28 de setembro às 23:59 GMT e daremos a você 20% do valor recuperado como recompensa.”
A mensagem finaliza com uma ameaça: se os valores não fossem devolvidos dentro do prazo, eles iriam procurar as autoridades.
Ao receber essa mensagem, o hacker foi rápido ao apontar a incoerência, já que os valores foram obtidos às custas de outro investidor inocente:
“E as pessoas normais que você atacou e literalmente ferrou com elas? Você vai ressarci-las? Devolva os fundos a todas as pessoas antes de 28 de setembro e consideraremos isso um “whitehat” (hack “do bem”), daremos a você 1% do valor recuperado como um sinal de bom coração.”
O hacker então usa a mesma ameaça para colocar um ponto final na conversa: “Se os fundos não forem devolvidos até então, não teremos escolha a não ser buscar de acordo com tudo o que estiver ao nosso alcance com as autoridades apropriadas para recuperar nossos fundos.”
O MB oferece taxas regressivas de negociação e estratégia de investimento de acordo com o seu perfil. Junte-se à maior Exchange da América Latina e negocie mais de 200 ativos digitais, como tokens, renda fixa digital e criptomoedas. Abra a sua conta gratuita!