Vulnerabilidade em projeto de stablecoin que levou à exploração de US$ 6,7 milhões 'não foi detectada' por auditores

O protocolo descentralizado de stablecoin lastreada em dólares Raft afirma que, apesar de várias auditorias de segurança, a empresa sofreu uma exploração de segurança que levou à perda de US$ 6,7 milhões na semana passada.

De acordo com o relatório post-mortem do projeto divulgado em 13 de novembro, alguns dias antes um hacker pegou emprestado 6.000 staked Ether da Coinbase (cbETH) no protocolo financeiro descentralizado Aave, transferiu a soma para a Raft e cunhou 6,7 milhões de tokens R, a stablecoin da Raft, aproveitando-se de uma falha do contrato inteligente.

Os fundos cunhados sem autorização foram então trocados fora da plataforma por meio de pools de liquidez nas exchanges descentralizadas Balancer e Uniswap, gerando uma receita de US$ 3,6 milhões. A stablecoin R foi descontinuada após o ataque. 

De acordo com o relatório:

"A causa principal foi um problema de cálculo de precisão ao cunhar tokens de ações, o que permitiu que o explorador obtivesse tokens de ações adicionais. O invasor aproveitou o valor amplificado do índice para aumentar o valor de suas ações."

Os contratos inteligentes explorados durante o incidente foram auditados pelas empresas de segurança de blockchain Trail of Bits e Hats Finance. "Infelizmente, as vulnerabilidades que levaram ao incidente não foram detectadas nessas auditorias", escreveu a Raft.

O projeto disse que, desde o incidente em 10 de novembro, apresentou um relatório policial e está trabalhando com exchanges centralizadas para rastrear o fluxo dos fundos roubados. Todos os contratos inteligentes da Raft estão atualmente suspensos, embora os usuários que cunharam R "mantêm a capacidade de se desfazerem de suas posições e recuperarem suas garantias."

As stablecoins descentralizadas são cunhadas com depósitos de criptomoedas dos usuários usados como garantia. Em dezembro de 2022, a stablecoin descentralizada HAY perdeu a paridade com o dólar depois que um hacker se aproveitou de uma falha de contrato inteligente e cunhou 16 milhões de HAY sem as devidas garantias. Desde então, a stablecoin HAY voltou a se recuperar, em parte devido ao fato de o protocolo exigir uma taxa de colateralização de 152% como parte de seu gerenciamento de risco.

We are aware of a potential security vulnerability.

We are currently investigating and will provide an update as soon as we can.

— Raft (@raft_fi) November 10, 2023

Estamos cientes de uma possível vulnerabilidade de segurança.

No momento, estamos investigando e forneceremos uma atualização assim que possível.

— Raft (@raft_fi)

LEIA MAIS

• ApeCoin bloqueia stakers dos EUA e dois Bored Apes são vendidos por US$ 1 milhão
• Mais carnificina na segunda-feira? Futuros dos EUA caem e Bitcoin fica abaixo de US$ 6.000
• BitPay anuncia parceria com a Binance para pagamentos com BUSD em 50 estados dos EUA