O mundo das finanças descentralizadas (DeFi) sofreu outro incidente em 19 de abril, quando a plataforma de empréstimos chinesa Lendf.me, parte da rede dForce, foi drenada de quase todos os seus fundos.

O hack planeja ser diferente dos outros, já que o hacker parece estar negociando com os fundadores do protocolo.

Conforme relatado ontem pelo Cointelegraph, o ataque ocorreu às 8h45, horário chinês, em 19 de abril, o que corresponde às 20h45 , no dia 18 de abril. O invasor aproveitou uma vulnerabilidade conhecida no padrão expandido de tokens ERC-777, chamado ataque de reentrada.

Como o hack funcionou?

O hacker usou o token imBTC como o cavalo de Troia do ataque. É um dos muitos invólucros Ethereum (ETH) para Bitcoin (BTC), que foi escrito de acordo com a especificação ERC-777. Essa é considerada uma versão mais avançada, mas também mais vulnerável, do padrão ERC-20 comum - especialmente quando usada em um contexto DeFi.

O hack explorou isso combinando-o com uma falha crucial nos contratos da Lendf.me e como eles atualizavam o saldo do usuário.

Como um analista que estava usando o pseudônimo de Frank Topbottom explicou no Twitter, o hacker executou muitas iterações de um ataque simples.

Em todas as transações, o hacker depositava o imBTC na plataforma Lendf.me, registrada no saldo de sua conta. Um segundo depósito da mesma transação adicionaria uma quantidade minúscula de imBTC, o que permitiria o uso de uma "reentrada" para retirar os tokens anteriormente depositados.

Fundamentalmente, o contrato não atualizou o saldo do hacker ao sacar dinheiro. Assim, ele estava livre para depositar o BTC novamente, dobrando seu saldo a cada vez.

Eventualmente, o hacker desviou quase a totalidade do imBTC presente na plataforma, totalizando cerca de 291 imBTC (US$ 2 milhões), segundo o analista.

Ele então continuou a executar o mesmo ataque, que nesse momento simplesmente inflou seu saldo até que seu valor cobrisse a totalidade dos fundos mantidos pelo protocolo.

Finalmente, ele usou o saldo falso como garantia para emprestar quase todos os tokens disponíveis na plataforma Lendf.me, realizando cerca de US$ 25 milhões em várias criptomoedas e stablecoins. 

O hacker já foi parcialmente descoberto

Logo após o ataque, ocorreu uma troca interessante de mensagens na cadeia.

O hacker enviou três transações de tokens PAX, totalizando US$ 250.000, para 1inch.exchange, ParaSwap e uma conta identificada como "administrador da Lendf.me". É provavelmente um gesto simbólico, pois pax significa "paz" em latim.

A Lendf.me respondeu com um endereço de e-mail para entrar em contato e depois sinalizou que havia respondido à pergunta do hacker. Mais tarde, ele devolveu ativos emitidos pela Huobi à Lendf.me, no valor de US$ 2,6 milhões.

A Lendf.me finalmente enviou uma mensagem com um tom levemente ameaçador, dizendo "Entre em contato conosco para o seu melhor futuro".

Um porta-voz da 1inch.exchange - um agregador de exchange descentralizado que o hacker costumava trocar parte dos fundos - explicou ao Cointelegraph que o cibercriminoso vazou metadados importantes sobre si mesmo usando diretamente sua rede de entrega de conteúdo baseada na web, em vez dos baseados no IPFS.

Especificamente, todas as três solicitações vieram de um único endereço IP chinês, o que sugere que o hacker não usou uma rede descentralizada como o Tor. Os porta-vozes da exchange teorizaram que se trata de uma VPN ou um servidor proxy, que pode estar sujeito a intimações.

Sabe-se também que o hacker está usando um Mac, revelando a resolução da tela e o idioma do sistema, definidos como "en-us".

Vale ressaltar que esses dados são triviais para ofuscar. Eles concluíram:

"Ele parece ser um bom programador, mas um hacker inexperiente."

Como as investigações policiais já estão em andamento, de acordo com a 1inch, parece provável que o hacker seja forçado a devolver o dinheiro na esperança de um tratamento mais brando.

Leia mais: