Os projetos descentralizados do ecossistema DeFi Cream Finance e xToken são mais uma vez vítimas de uma exploração de segurança, perdendo quase US$ 30 milhões no total.
Nesta segunda-feira, os desenvolvedores do protocolo de finanças descentralizadas (DeFi) A Cream Finance informou via Twitter sobre uma vulnerabilidade explorada no protocolo descentralizado, que causou a perda de mais de US$ 25 milhões em tokens AMP e ETH. De acordo com o relatório dos desenvolvedores no momento desta publicação, o invasor do Cream Finance conseguiu extrair 418.311.571 tokens AMP da Flexa Network, além de 1.308 tokens ETH da Ethereum. No total, as perdas em dólares chegam a mais de 25,6 milhões.
A Cream Finance relatou que o invasor encontrou uma falha de segurança no contrato do token AMP e usou um empréstimo rápido para extrair fundos dele. Como medida de segurança, os desenvolvedores interromperam os depósitos e empréstimos no protocolo; uma ação que não foi bem recebida por alguns membros da comunidade criptográfica que defendem a descentralização.
Por outro lado, o protocolo DeFi xToken também sofreu uma vulnerabilidade de segurança na qual perdeu cerca de US$ 4,5 milhões. No Twitter, os desenvolvedores deste protocolo relataram que o contrato xSNX foi explorado, assim como o Cream Finance, usando um empréstimo instantâneo para extrair os fundos. Os desenvolvedores publicaram um denunciar post mortem reconhecendo que a complexidade deste produto abriu uma “área de superfície significativa para vulnerabilidades” no protocolo DeFi, então eles decidiram fechá-lo.
Você pode estar interessado: Hacks DeFi se tornam populares e causam perdas de US$ 474 milhões em 2021
Ataques instantâneos de empréstimo
Os empréstimos instantâneos estão se tornando uma das ferramentas favoritas dos invasores que operam no ecossistema financeiro descentralizado. O surgimento desse tipo de empréstimo no DeFi fez com que o risco dentro do ecossistema crescesse exponencialmente no último ano.
No final de abril, a empresa de pesquisa e análise de blockchain Messari publicado um relatório sobre ataques DeFi ocorridos desde 2019. Nesse relatório, a empresa destaca que 40% dos roubos a protocolos descentralizados foram realizados através de empréstimos instantâneos. A CipherTrace, outra empresa de análise de blockchain, disse em meados deste mês que os ataques ao DeFi estão se tornando populares e que as perdas de valor dentro deste ecossistema financeiro ultrapassam US$ 474 milhões até agora neste ano.
Segunda exploração até agora este ano
No caso do Cream Finance, assim como no xToken, as recentes falhas de segurança são as segundas explorações que esses protocolos sofrem em 2021. O Cream Finance foi comprometido em fevereiro deste mesmo ano, através de um hack que envolveu o projeto DeFi Alpha Finance Lab. Com esse hack, o invasor conseguiu extrair 37,5 milhões de dólares do protocolo.
Um mês depois, em meados de março, o protocolo DeFi também foi vítima de um Ataque de falsificação de DNS, que buscava enganar os usuários do protocolo exibindo uma janela falsa no site Cream Finance, para solicitar informações confidenciais das vítimas na tentativa de roubar suas chaves privadas e fundos. Durante este ataque, o protocolo descentralizado PancakeSwap do BSC também foi vítima.
Por outro lado, no mês de maio o xToken sofreu uma vulnerabilidade de segurança bastante semelhante à atual, no contrato xSNX. Os desenvolvedores informação sobre perdas de 25 milhões de dólares devido a uma exploração ocorrida nos contratos xSNXa e xBNTa. Naquela época, os pesquisadores relataram que o invasor executou uma ação combinada para manipular o mercado na Rede Kyber e explorar um bug nos oráculos de preços dos derivativos xToken, permitindo-lhe extrair os fundos.
Hacks de DeFi
Os recentes ataques ao Crem Finance e ao xToken ocorrem poucas semanas após o maior hack DeFi da história. O protocolo Poly Network passou por duas semanas de grande incerteza quando um invasor conseguiu extrair US$ 613 milhões de seu contrato. Felizmente, os desenvolvedores chegaram a um acordo com o hacker, que acabou por ser um “White Hat Hacker”, e que devolveu os fundos roubados há alguns dias.
Além das vulnerabilidades recentemente exploradas nesses protocolos DeFi, o exchange Bilaxy também caiu para o atacar de hackers, que conseguiram violar seus carteira quente ERC-20, retirando mais de 290 tokens ERC-20 da carteira, no valor entre US$ 170.000 e vários milhões de dólares, de acordo com relatos não confirmados no momento da publicação.
Continue lendo: Ecossistema DeFi perde outros US$ 7 milhões no recente hack do DAO Maker
