Hackers conseguiram drenar US $ 25 milhões de duas carteiras de criptomoedas (bitcoin e ethereum) no último final de semana. Utilizando ataque de reentrada em contratos inteligentes eles conseguiam roubar criptomoedas de forma continua sem nenhuma dificuldade até que o status inicial da transação fosse alterado.
O ataque foi feito em uma plataforma de empréstimos descentralizada, a Lendf.me, que é usa dois protocolos de empréstimos suportados pela rede DeFi (finanças descentralizadas) DFORCE, e uniswap.
Quando um contrato inteligente é implantado na blockchain, ele nunca pode ser alterado novamente. É por isso que eles são chamados de “imutáveis”.
Um ataque de reentrada ocorre quando uma função faz uma chamada externa para outro contrato não confiável antes de resolver quaisquer condições. Se o invasor puder controlar o contrato não confiável, ele poderá fazer uma chamada recursiva de volta à função original, repetindo interações que, de outra forma, não seriam executadas após a resolução dos efeitos.
Assim, ele consegue executar um contrato, e logo, sacar fundos de forma repetitiva.
Os hackers atacaram primeiro a Uniswap no sábado, explorando uma vulnerabilidade inerente no protocolo combinada com o padrão de token ERC777.
Depois, no domingo, os hackers realizaram o mesmo ataque na Lendf.Me, e assim conseguiram um “empréstimo” grande na plataforma”.
A DeFi Pulse informou que a Lendf.me foi atacada no início da manhã de domingo. 99% de seus ativos em ethereum e bitcoin foram roubados.
Os desenvolvedores do protocolo DeFi sugerem que a vulnerabilidade pode ter sido causada porque o imBTC deve ser ancorado em uma taxa individual contra o padrão ERC777, o que significa que um token ethereum pode ter sido atrelado ao Bitcoin.
É possível que a combinação do contrato de tokens Lendf.Me/Uniswap e ERC777 tenha permitido ao invasor lançar os ataques de reentrada.
Essas são meras especulações, já que a dForce ainda não divulgou uma declaração oficial sobre o incidente ou o que poderia ter dado errado. O site oficial da Lendf.me exibiu a mensagem “Não deposite mais!” antes de ficar offline.
A única declaração oficial divulgada até agora foi publicada no canal Telegram e no blog Medium da Lendf.me, em que o CEO da fundação, Mindao Yang, declarou que os usuários não devem depositar fundos na Lendf.me e que a empresa está investigando o problema.
Também não está claro se o invasor roubou fundos da empresa e dos usuários, mas foi confirmado que as carteiras armazenavam mais de US $ 25 milhões, ou, R$ 132 milhões.
Yang alega ter entrado em contato com as autoridades para investigar o assunto e a empresa também respondeu ao contato dos hackers.
“Os hackers tentaram entrar em contato conosco e pretendemos entrar em discussões com eles”,
“Estamos fazendo tudo ao nosso alcance para conter a situação.
contatamos corretoras para rastrear e colocar na lista negra os endereços dos hackers e envolvemos nossas equipes jurídicas.”
O IP do hacker foi exposto e a empresa informou para as autoridades, isso fez o hacker devolver os fundos.
O roubo dos US $ 25 milhões teve uma reviravolta, os hackers devolveram todos os fundos roubados – o valor de cerca de R$ 132 milhões foram enviados de voltada para a plataforma.
Conforme publicado pelo The Block, ontem, o hacker devolveu 2,79 milhões de dólares à dForce e hoje o restante da quantia, quase 24 milhões de dólares, foi devolvido, de acordo com dados da Etherscan analisados pela The Block Research.
Um pouco menos do que o valor dos fundos roubados porque o explorador converteu alguns deles e eles perderam algum valor:
O CEO da 1inch.exchange, Sergej Kunz, disse ao site que o hacker devolveu todos os fundos porque seu endereço IP foi informado para a polícia de Cingapura.
“Recebemos um pedido da polícia e estávamos ajudando a dForce. Com base no pedido, entregamos à polícia os endereços IP e as meta informações sensíveis”, disse Kunz ao The Block.
O The Block descobriu que uma das empresas envolvidas se recusou a ajudar a dForce com as informações do hacker, porque eles disseram que sendo uma empresa francesa seguem as leis do GDPR (Regulamento Geral de Proteção de Dados). Mas isso não é verdade, disse uma pessoa familiarizada com o assunto ao site.
“Eles não têm nenhuma informação de contato no site, o que é necessário e pode causar uma punição de € 200.000. Além disso, eles coletam endereços de e-mail do usuário para o sistema de notificação se o preço mudar e também os endereços IP e não possuem qualquer política na página da Web “, disse a pessoa ao The Block.
Comentários