Na manhã desta quinta-feira (2), o protocolo de DeFI BadgerDAO anunciou que já estava ciente de que saques não autorizados de fundos de usuários estavam sendo realizados, fazendo com que eles pausassem todos contratos inteligentes para prevenir mais saques deste tipo.
Segundo relatório da PeckShield, a perda total foi de 680 milhões de reais em duas criptomoedas, Bitcoin e Ethereum. Dentre este valor estão cerca de 2.100 BTC (R$ 677 milhões) e 151 ETH (R$ 3,8 milhões).
Embora estes ataques estejam cada vez mais comuns, o que chamou atenção neste caso foi o fato de que um único usuário perdeu 897 BTC, equivalente a 289 milhões de reais. Devido ao pseudoanonimato das criptomoedas, não é possível saber quem foram a vítima e o atacante.
Problemas começaram na quarta-feira
Após estranhar a movimentação dos fundos, um usuário questionou a equipe da BadgerDAO sobre um possível hack em andamento. Prontamente recebeu uma resposta de que, ao duvidar, respondeu que estava tudo certo, afirmando que era apenas uma baleia movendo seus fundos.
— Há um hack acontecendo?
— Nah. Apenas uma baleia brincando. O que faz você pensar que parece um hack? É estranho, na realidade.
Cerca de vinte minutos depois, após ser contatado por mensagem privada, a equipe decidiu pausar todos os contratos inteligentes para realizar uma investigação, acreditando que realmente pudesse haver um problema.
“Nós pausamos todos os nosso contratos inteligentes. Nós acreditamos que possa haver um problema. Estamos investigando para fornecer mais detalhes em breve.”
Com isso, o hack estava confirmado pela equipe. Supostamente as vítimas deram acesso para o criminoso mover os seus tokens. Resultando em uma perda de 680 milhões de reais em BTC e ETH, sendo a maior parte em wrapped BTC, que são bitcoins disponíveis na rede Ethereum como forma de token, com lastro em bitcoin.
“A exploração do front end apresentou às pessoas uma transação para <INCREASE ALLOWANCE> para 0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107 para gastar os seus tokens. Conforme as pessoas aprovaram isso, o invasor esperou por alguns dias e, em seguida, roubou todos eles há algumas horas.”
Front end exploit presented people a transaction to <INCREASE ALLOWANCE> for 0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107 to spend their tokens. If people approved that, attacker sat on it for a few days, and then rugged them all a few hours ago.
— Bret Woods 🏄♀️ (@fewture) December 2, 2021
Um único usuário perdeu 897 BTC
Dentre os R$ 680 milhões, cerca de 42% pertenciam a um único usuário que perdeu R$ 289 milhões em bitcoin. A transação que pode ser vista pelo EtherScan mostra que a movimentação de exatos 896,85987522 byvWBTC — token na rede Ethereum lastreado em BTC — ocorreu às 21h do horário de Brasília.
Devido ao pseudoanonimato das criptomoedas, as identidades da vítima e do atacante seguem um mistério. Apesar disso, a comunidade da BadgerDAO parece disposta a solucionar este caso, seu canal no Discord está lotado de investigadores amadores que tentam reaver o montante perdido.
Já o preço do token do BadgerDAO está com uma queda de 22% nas últimas 24 horas, refletindo a preocupação de seus investidores após o ataque.