O protocolo DeFi baseado em Ethereum, Balancer, foi hackeado por um hacker após descobrir uma vulnerabilidade que lhes permitiu roubar mais de US$ 500.000 mil em duas transações em vários tokens gerenciados pela plataforma.
Há algumas semanas, o ecossistema financeiro descentralizado (DeFi) teve um crescimento incrível, tudo graças à capacidade de permitir aos usuários uma maneira melhor de gerenciar seus ativos. Além disso, o DeFi também oferece a oportunidade de gerar receitas e lucros através de piscinas de liquidez que são utilizadas por diversas plataformas, e que os usuários podem aproveitar para oferecer ou solicitar empréstimos e receber recompensas através dos juros gerados pelo congelamento de seus tokens.
No entanto, apesar do crescente uso e confiança no DeFi, está claro que os desenvolvedores ainda precisam trabalhar na segurança desses protocolos. Recentemente, a plataforma para DeFi baseada em Ethereum, Equilibrista, foi vítima de um ataque de um hacker que conseguiu roubar 500.000 dólares (444.775 euros) em ativos da plataforma.
O ataque foi descoberto por 1inch.exchange que ele destacou em um publicación que o hacker foi capaz de encontrar uma vulnerabilidade no Mercados Multidimensionais Automáticos (AMM) quem usa a plataforma.
Você pode estar interessado: DeFi experimenta um crescimento surpreendente após a chegada do Compound neste ecossistema Ethereum
Ataques à plataforma DeFi Balancer
1inch.exchange relata que o hacker usou um smart contract (contrato inteligente) no qual automatizou diversas das ações a serem realizadas em uma transação complexa, depois enviou a transação para a rede principal Ethereum com a qual causou o ataque a dois pools de liquidez do Balancer.
Por sua vez, poucas horas depois, o Balancer confirmou o ataque publicando um artículo onde ele explicou mais detalhes do que aconteceu. Como explicado Mike McDonald, CTO da Balancer Pool, o hacker conseguiu sacar os fundos em tokens STA y PEDRA em dois dos pools de liquidez administrados pelo protocolo.
A descrição do ataque afirma que, primeiro, o hacker obteve acesso a um empréstimo Empréstimo Flash no Ethereum da plataforma descentralizada dYdX. Depois de obter o ETH, ele os converteu em token WETH. O empréstimo instantâneo que o hacker obteve foi de 104.000 ETH, equivalente a cerca de US$ 20,4 milhões com base no valor do Ethereum no momento desta publicação.
Deve-se notar que Empréstimos flash ou empréstimos flash consistem em empréstimos feitos sem garantia, usando um contrato inteligente para obter os ativos e depois pagar o empréstimo na mesma transação. Pode parecer uma falha em qualquer sistema, mas não, é uma funcionalidade que muitos protocolos DeFi começaram a usar. No entanto, esses empréstimos rápidos demonstraram no passado ter algumas vulnerabilidades em alguns protocolos. Isso permitiu que hackers explorassem o contrato inteligente de empréstimo instantâneo e mantivessem os fundos sem devolvê-los. Através deste ataque, o hacker pode explorar outras vulnerabilidades existentes em outros protocolos, exatamente como aconteceu no Balancer.
Desta vez o que o hacker do Balancer fez foi trocar os fundos disponíveis em ETH pelo token wETH. Então ele trocou wETH pelo token STA (Statera), realizando essa troca repetidamente até completar 24 trocas com os mesmos tokens. Realizada essa rotina, o hacker gerou um erro no contrato inteligente, fato que lhe permitiu obter parte dos recursos disponíveis no protocolo.
O algoritmo deflacionário da Statera pode ser a causa do roubo de fundos da plataforma
Os desenvolvedores estimam que foi por causa do algoritmo deflacionário usado Estadora que o hacker conseguiu obter os fundos do Balancer. Isso porque toda vez que ocorre uma transação dentro do protocolo, o pool recebe 1% a menos do valor total da transação. Esse 1% a menos se deve ao fato de que essa porcentagem dos tokens é queimada automaticamente toda vez que ocorre uma operação. Essa situação parece ser o que o hacker explorou ao fazer a mudança de wETH para STA 24 vezes, ação em que o protocolo Statera recebeu 1% a menos do que o esperado no token, em cada interação.
McDonald então indica que o hacker trocou o STA usando weiSTA, um bilionésimo do token STA, por vários tokens, incluindo LINK, wBTC, SNX, sendo estes dois últimos tokens Bitcoin na rede Ethereum. Então, devido ao algoritmo deflacionário da plataforma, os weiSTAs não completaram a troca de tokens, então o hacker conseguiu realizar a operação repetidas vezes trocando os weiSTAs por esses tokens disponíveis no Balancer, extraindo os fundos disponíveis na plataforma Statera.
No total, o relatório indica que o hacker conseguiu obter a quantia de US$ 500.000 mil durante o primeiro ataque.
Um segundo ataque foi relatado
Embora o segundo ataque realizado tenha sido consideravelmente menor que o anterior, diversos desenvolvedores relataram que estão empenhados em auditar as plataformas para revisar e corrigir vulnerabilidades existentes nos protocolos.
O segundo ataque ocorreu menos de 24 horas após a execução do primeiro, mas foi focado no token COMP da plataforma Compound. A forma como este segundo ataque foi executado é bastante semelhante ao primeiro, mas o hacker só conseguiu atingir um total de 10 COMP, o que equivale a cerca de US$ 2.300 no momento desta publicação.
Comunidade criptográfica se manifesta após ataques
Até agora, várias figuras da comunidade criptográfica expressaram as suas opiniões sobre estes ataques aos ecossistemas DeFi, apontando principalmente que a Balancer sabia da vulnerabilidade no seu protocolo mas não reportou nem trabalhou a tempo de a corrigir, razão pela qual o hacker aproveitou a situação.
Diante das acusações, Mike McDonald pediu desculpa por não terem tomado medidas a tempo de corrigir a vulnerabilidade, embora aleguem que não tinham ideia de que esse tipo específico de ataque era possível no Balancer.
Continue lendo: Ren Protocol, Synthetix e Curve Finance implementam produção agrícola para Bitcoin
