Em outro ataque a um grande protocolo de finanças descentralizadas (DeFi), o projeto de farming Pickle Finance teve US$ 20 milhões hackeados no sábado.
O ataque ocorreu no fim do dia, e os usuários do Twitter experientes em ETH foram rápidos em notar que o jarro cDAI do Picke ('jarro' é o termo usado pelo protocolo para um cofre de rendimento) tinha sido esvaziado:
Acho que o jarro de cDAI do @picklefinance acabou de ser atacado e esvaziado. https://t.co/Lxwi2dWSSZ
Ao contrário de outros ataques recentes, no entanto, esse em particular não se baseou em empréstimos rápidos - uma ferramenta das DeFi cada vez mais difamada que permite a potenciais exploradores liquidez adicional para manipular os preços da rede. Em vez disso, esse hacker trocou fundos entre um contrato malicioso imitador e o jarro cDAI.
Em uma entrevista ao Cointelegraph, Emiliano Bonassi - um autodescrito whitehat hacker, cofundador da DeFi Itália - explicou que o invasor criou “jarros do mal”, contratos inteligentes que “têm a mesma interface dos jarros tradicionais, mas têm fins perniciosos”.
O invasor então trocou fundos entre seu “jarro do mal” e o jarro cDAI real, lucrando os US$ 20 milhões em depósitos.
Jarros do mal implantados durante o ataque e passados no swapExactJarForJar, investigando mais sobre estehttps: