Os proponentes das finanças descentralizadas (DeFi) estão sofrendo um duro golpe depois que o protocolo de empréstimos descentralizado bZx sofreu dois hacks bem sucedidos em apenas alguns dias, com perdas totalizando cerca de US$ 954.000.
Segundo o relatório da bZx, o protocolo foi comprometido pela primeira vez em 14 de fevereiro, quando a equipe esteve no evento da indústria ETHDenver. O segundo ataque, de acordo com o The Block, ocorreu no dia 18 de fevereiro.
O procedimento do primeiro ataque
O invasor usou vários protocolos DeFi para emprestar e negociar quantidades significativas de Ether e wrapped Bitcoin (WBTC) - um token na blockchain Ethereum que rastreia o preço do Bitcoin (BTC) - de uma maneira que lhe permitisse manipular os preços e lucrar com uma negociação alavancada descentralizada.
O hacker primeiro emprestou 10.000 Ether (ETH) do protocolo de empréstimo descentralizado dYdX, depois usou 5.500 ETH (US$ 1,46 milhão) para garantir um empréstimo de 112 Bitcoin (WBTC) (mais de US$ 1 milhão) no composto do protocolo DeFi.
Nesse momento, o hacker enviou 1.300 ETH (mais de US$ 372.000) para negociação descentralizada de ETH e abriu uma posição alavancada 5x no par ETH / BTC na plataforma de negociação Fulcrum da bZx, e por fim, emprestou 5.637 ETH através do Uniswap da Kyber e os trocou por 51 WBTC, causando grande movimento.
Isso, por sua vez, permitiu ao invasor lucrar com a troca de 112 WBTC para 6.671 ETH, resultando em um lucro de 1.193 ETH (quase US$ 318.000). O hacker finalmente pagou o empréstimo de 10.000 ETH em dYdX que ele havia adquirido antes.
De acordo com uma análise aprofundada do ataque, a transação com a qual o atacante abriu o comércio alavancado deveria ter sido impedida por verificações de segurança, mas essas verificações não foram acionadas devido a um bug no contrato inteligente da bZx. A equipe por trás do protocolo anunciou que o bug foi corrigido.
O segundo ataque
A natureza do segundo ataque ainda não está clara, mas uma mensagem do projeto CVO foi enviada por Kyle Kistner no grupo oficial do bZx no Telegram, sugerindo que foi um ataque de manipulação do oráculo. Oráculos geralmente são componentes centralizados que fornecem dados externos para aplicativos em cadeia.
O The Block estima que a perda seja de 2.388 ETH (quase US$ 636.000). Kistner disse que a equipe pode neutralizar o hack e impedir a perda de fundos dos usuários, como fizeram no primeiro hack. Além disso, ele prometeu que os desenvolvedores do bZx mudariam para oráculos com base no protocolo Chainlink, aparentemente sugerindo que isso tornaria o sistema mais seguro.
O Cointelegraph atualizará este artigo com mais informações em breve.
A prevalência de criptomoedas em hacks
A não reversibilidade das transações é uma propriedade básica da maioria das criptomoedas, ou pelo menos é procurada pela maioria dos projetos. Embora desejável por muitas razões, esse recurso também é apreciado pelos cibercriminosos que conseguem manter os fundos se conseguirem roubá-los, enquanto as transferências eletrônicas podem ser revertidas.
Grupos de hackers também estão se antecipando atualizando seus métodos. A empresa de segurança cibernética TrendMicro descobriu recentemente que o grupo de hackers Outlaw está atualizando seu kit de ferramentas para roubar dados das empresas há quase meio ano.
No início deste mês, o Cointelegraph informou que os hackers comprometeram cinco escritórios de advocacia dos Estados Unidos e exigiram dois resgates de 100 Bitcoin de cada empresa: um para restaurar o acesso aos dados e outro para excluir a cópia em vez de vendê-la.