O setor de finanças descentralizadas, DeFi, continua sendo alvo de ataques. Nos últimos dias três projetos sofreram perdas: Vee Finance, pNetwork e Zabu.
O maior roubo ocorreu na plataforma Vee Finance, um protocolo de empréstimo que trabalha na blockchain Alavanche (AVAX), a quantia perdida é equivalente a 185 milhões de reais esta semana. No total 213,93 BTC e 8.804,7 ETH foram roubados.
Segundo a equipe da Vee Finance, as atividades suspeitas começaram no dia 20 de setembro e eles estão trabalhando em soluções. Outros ativos como as stablecoins USDT, USDC e DAI não foram afetados. O hacker ainda não moveu os fundos da sua carteira e a equipe entrou em contato com o mesmo.
“Atualização da Vee.Finance: A equipe técnica está trabalhando com empresas de segurança. Manteremos todos informados com as últimas atualizações.”
https://twitter.com/VeeFinance/status/1440454315437486094
Segundo relatório feito pela SlowMist, empresa focada em segurança no setor de blockchain, a principal causa do ataque foi o uso de apenas uma pool pelo oráculo para obtenção de preço, então este preço foi manipulado e, devido a outras condições do oráculo, o ataque foi realizado.
Semana difícil
Além da Vee, outros dois protocolos também foram atacado esta semana, a pNetwork, um protocolo de interoperabilidade entre blockchains, perdeu cerca de 63 milhões de reais, 277 BTC, na BSC devido a uma falha explorada pelo atacante.
O ataque ocorreu neste final de semana e a equipe anunciou em suas redes sociais que estava trabalhando para corrigir o bug. Além disso, a pNetwork também ofereceu 1,5 milhão de dólares (R$8 mi) ao hacker caso ele devolvesse o montante roubado.
“Ao hacker. […] Estamos oferecendo uma recompensa limpa de $1.500.000 se os fundos forem devolvidos.
Encontrar vulnerabilidades faz parte do jogo, infelizmente, mas todos nós queremos que o ecossistema DeFi continue crescendo, devolver fundos é um passo nessa direção”
4/N To the black hat hacker. Although this is a long shot, we're offering a clean $1,500,000 bounty if funds are returned.
Finding vulnerabilities is part of the game unfortunately, but we all want DeFi ecosystem to continue growing, returning funds is a step in that direction
— pNetwork 🦜 (@pNetworkDeFi) September 19, 2021
Por fim, o outro ataque ocorreu há dez dias e o alvo foi a Zabu Finance, outro protocolo que, assim como a Vee Finance, trabalha na Avalanche. Dentre os três, foi o que menos sofreu perdas: cerca de 17 milhões de reais em tokens Zabu.
Basicamente o ataque consistiu em fazer e retirar stacking de um token no protocolo, todavia a Zabu não descontava as taxas, permitindo que o atacante sacasse mais do que depositou, o ataque foi repetido múltiplas vezes.
Setor de DeFi é o principal alvo de ataques
Embora ao longo da história das exchanges, os ataques tenham sido, em sua maioria, a exchanges centralizadas, o crescimento do uso de protocolos de DeFi fez com que eles se tornassem o principal alvo de hackers.
Apenas neste ano, mais de 1 bilhão de reais foram roubados destes projetos, segundo a Atlas VPN 76% dos ataques ocorreram em projetos de DeFi durante o primeiro semestre deste 2021.