Muitos traders de criptomoedas buscam respostas após um exploit bem-sucedido na exchange descentralizada e formadora automatizada de mercado (AMM) Balancer resultar no roubo de mais de US$ 100 milhões em ativos digitais.
Em uma postagem no X na segunda-feira atualizando os usuários sobre o ataque, a Balancer disse que o incidente foi “isolado aos V2 Composable Stable Pools e não afeta o Balancer V3 nem outros pools da plataforma.”
A plataforma acrescentou que havia “passado por auditorias extensas por empresas líderes e mantido programas de recompensas de bugs por muito tempo para incentivar auditores independentes”, levantando dúvidas sobre como o exploit foi possível.
“Balancer passou por mais de 10 auditorias”, disse Suhail Kakar, líder de relações com desenvolvedores da blockchain TAC, no X. “O cofre foi auditado três vezes por diferentes empresas e ainda assim foi hackeado em US$ 110 milhões. Este setor precisa aceitar que ‘auditado por X’ significa quase nada. Código é difícil, DeFi é mais difícil.”
De acordo com uma lista de auditorias da Balancer V2 disponível no GitHub, quatro empresas de segurança — OpenZeppelin, Trail of Bits, Certora e ABDK — realizaram 11 auditorias dos contratos inteligentes da plataforma, sendo a mais recente sobre seu pool estável conduzida pela Trail of Bits em setembro de 2022.
O Cointelegraph entrou em contato com a OpenZeppelin para comentar, mas não obteve resposta até o momento da publicação. Um porta-voz da Trail of Bits se recusou a comentar o exploit “até que a causa raiz seja identificada e todos os forks da Balancer estejam seguros.”
O exploit, relatado na segunda-feira, resultou em mais de US$ 116 milhões em Ether em staking (ETH) — incluindo StakeWise Staked ETH (OSETH), Wrapped Ether (WETH) e Lido wstETH (wSTETH) — sendo transferidos para uma nova carteira. Um analista da Nansen disse ao Cointelegraph que o incidente da Balancer pode ter se originado de problemas em contratos inteligentes com uma “verificação de acesso defeituosa que permitiu ao invasor enviar um comando para sacar fundos.”
Projeto oferece recompensa de white hat de 20% pela devolução dos fundos
Em uma transação on-chain direcionada aos atacantes na segunda-feira, a equipe da Balancer ofereceu uma recompensa white hat de até 20% dos fundos roubados se o valor total fosse devolvido em até 48 horas após o aviso.
“Se você optar por não cooperar, contratamos especialistas independentes em forense blockchain e estamos cooperando ativamente com várias agências de aplicação da lei e órgãos reguladores”, disse a Balancer.
No momento da publicação, o projeto ainda não havia anunciado novas atualizações sobre a recompensa ou detalhes adicionais sobre o exploit.