1inch sofre hack de US$ 5 milhões devido a vulnerabilidade em contrato inteligente

O agregador de exchanges descentralizadas 1inch perdeu US$ 5 milhões em criptomoedas quando um hacker explorou uma vulnerabilidade em um contrato inteligente, confirmou a plataforma.

Em 5 de março, a 1inch identificou uma vulnerabilidade que afetava resolvers — entidades que preenchem ordens — que utilizavam a implementação desatualizada do Fusion v1, tornando-a pública no dia seguinte.

Rastreando o hack de US$ 5 milhões na 1inch

Em 7 de março, a empresa de segurança blockchain SlowMist descobriu, por meio de uma investigação on-chain, que o hacker da 1inch fugiu com 2,4 milhões de USDC (USDC) e 1.276 Wrapped Ether (WETH).

De acordo com a 1inch, o hack afetou apenas resolvers usando o Fusion v1 em seus próprios contratos, garantindo que os fundos dos usuários finais permaneceram seguros:

"Estamos trabalhando ativamente com os resolvers afetados para proteger seus sistemas. Pedimos a todos os resolvers que auditem e atualizem seus contratos imediatamente."

A plataforma anunciou programas de recompensa por bugs para identificar e corrigir outras vulnerabilidades no sistema e recuperar os fundos roubados.

A 1inch tem poucas chances de recuperar os fundos roubados, a menos que o hacker concorde em devolvê-los. No passado, protocolos de cripto comprometidos conseguiram recuperar fundos depois que os invasores concordaram em reter 10% como recompensa de white hat, como aconteceu com a plataforma de empréstimos cripto Shezmu.

Ainda assim, os hackers norte-coreanos por trás do hack de US$ 1,5 bilhão na Bybit — considerado o maior roubo da história das criptomoedas — tiveram sucesso em desviar todo o valor, apesar dos esforços coordenados da comunidade cripto para recuperar as perdas.

Os hackers roubaram diversos ativos, incluindo Ether em staking líquido (STETH), Mantle Staked ETH (mETH) e outros tokens ERC-20 da Bybit.

Bybit no caminho lento da recuperação

Apesar da perda repentina de fundos, a Bybit conseguiu permitir que seus usuários sacassem seus ativos sem interrupções, obtendo rapidamente empréstimos de outras empresas de criptomoedas, que foram pagos posteriormente.

Levou 10 dias para os hackers da Bybit lavarem US$ 1,4 bilhão em criptomoedas roubadas. No entanto, parte dos fundos lavados ainda pode ser rastreada, apesar das trocas de ativos, segundo Deddy Lavid, cofundador e CEO da empresa de segurança blockchain Cyvers:

"Embora a lavagem por meio de mixers e swaps cross-chain complique a recuperação, empresas de cibersegurança que utilizam inteligência on-chain, modelos baseados em IA e colaboração com exchanges e reguladores ainda têm pequenas oportunidades de rastrear e possivelmente congelar os ativos."

O THORChain, um protocolo de swaps cross-chain, que foi supostamente utilizado extensivamente pelos hackers para escoar os fundos, viu um aumento na atividade após o hack da Bybit.