Falha foi descoberta em 2023, mas nunca foi corrigida. Imagem: Midjourney.
Um golpista passou nove meses acumulando uma criptomoeda de baixa liquidez para aplicar um grande golpe no mercado. Quem ficou com o prejuízo foi a Venus Protocol, uma plataforma de empréstimos de criptomoedas.
O caso foi relatado pela própria Venus nesta segunda-feira (16).
Segundo os desenvolvedores, este não foi um ataque de flash loan, seus oráculos não falharam e o Venux Flux, módulo mais novo de empréstimos, não foi afetado.
O post-mortem publicado pela Venus Protocol revela que o golpista tinha um bom conhecimento técnico e, além disso, planejou o ataque com uma grande antecedência.
“O atacante passou 9 meses acumulando lentamente $THE para construir uma posição dominante de oferta. Em seguida, burlou nosso limite de oferta ao transferir tokens diretamente para o contrato do protocolo.”
“A partir daí, executou um loop recursivo: tomar empréstimos de ativos → trocar por $THE para inflar o preço → transferir $THE diretamente para o vTHE para inflar a taxa de câmbio → repetir”, explicaram os desenvolvedores. “Cada ciclo gerava poder de empréstimo excessivo, sustentando o loop até a liquidação. Isso criou dívida inadimplente no protocolo.”
Na sequência, a Venus Protocol reconhece que esta é uma falha em seu código e que seus desenvolvedores estão trabalhando para corrigi-la.
Apurações revelam que o ataque causou um prejuízo de US$ 2,15 milhões ao protocolo.
Uma postagem feita pela Allez Labs, compartilhada pela Aave, revela que o ataque foi financiado por 7.447 ETH, avaliados em R$ 90 milhões na cotação atual, através de 77 transações vindas do Tornado Cash.
A análise aponta que o vetor deste ataque foi divulgado ainda em 2023 por uma auditoria da Code4rena, mas que nenhuma ação foi tomada.
Outra consequência do ataque pode ser vista no preço da Thena (THE) que após disparar no domingo (15) durante a ação, acabou perdendo boa parte de seu valor.
Em outro comunicado publicado nesta segunda-feira (16), a Venus Protocol disse ter tomado diversas medidas para se proteger contra ataques.
Além do mercado de empréstimo da THE ser pausado, o mesmo aconteceu com outras oito criptomoedas, incluindo negociações de BCH, LTC, AAVE, POL, FIL, TWT, UNI e lisUSD.
“Como parte da correção, estamos explorando mecanismos on-chain de monitoramento de risco que possam identificar padrões anômalos de acumulação e acionar revisões ao nível de governança, sem comprometer os princípios permissionless do Venus.”
Apesar do ataque, a criptomoeda Venus (XVS) opera em alta de 3,7% nas últimas 24 horas e 17% nos últimos 7 dias, mesmo após o incidente.
Comentários