A Curve Finance abalou o ecossistema DeFi esta semana, não só pelos prejuízos diretos causados por cibercriminosos, mas também pela perda de confiança de investidores e pelo golpe significativo na credibilidade do setor.
Eis o que veremos no artigo de hoje – partindo do panorama geral dos ataques cibernéticos em 2023, passando pelos principais ataques a smart contracts, e finalizando com os efeitos do hack no Curve Finance e em todo o ecossistema DeFi.
O panorama geral dos ataques cibernéticos em 2023
A frequência de hacks aumentou no segundo trimestre de 2023
Segundo relatório da De.Fi Security, US$ 204 milhões em cripto foram roubados por hackers só no segundo trimestre de 2023.
O total de fundos perdidos em 2023 chegou a US$ 667 milhões, com US$ 204.308.280 perdidos no segundo trimestre.
Os fundos recuperados em 2023 até o momento
Totalizam US$ 183 milhões, representando 27,5% do total de fundos perdidos.
A frequência dos hacks
No segundo trimestre de 2023, foram 129 casos) – em comparação com 17 no segundo trimestre de 2022 – , o que resulta num aumento de quase 7 vezes. Veja aqui.
A boa notícia: ritmo de perda de fundos caiu pelo terceiro mês consecutivo
A boa notícia, no entanto, é que o ritmo de perda de fundos caiu pelo terceiro mês consecutivo em junho, para US$ 42,7 milhões, em comparação com US$ 56,1 milhões e US$ 105,3 milhões em maio e abril, respectivamente.
Tipos de exploração
Os tipos de exploits oscilaram, com 21 casos vinculados a outras formas de exploits, 55 casos de rugpull e 14 casos de ataques flash loan. Isso indica que o setor de criptografia continua a enfrentar uma ampla gama de ameaças à segurança que exigem respostas diversas e sofisticadas.
Vetores de ataque
Em termos de vetores de ataque, os tokens continuaram sendo os alvos mais populares, respondendo por 67 casos. Outros alvos populares incluem DEXes, com 12 casos, e protocolos de empréstimo, com 9 casos. O crescente espaço NFT também registrou 4 casos, destacando o alcance crescente da fraude voltada para criptos.
O que o ataque à The DAO em 2016 tem a ver com o caso da Curve?
Desde 2016, o the DAO é o exemplo mais famoso de “ataque de reentrância”, que ocorreu apenas três meses após seu lançamento .
Na ocasião, um hacker anônimo conseguiu drenar a maior parte dos US$ 150 milhões em ETH do contrato inteligente da DAO ao longo de algumas semanas. Esse fato resultou na perda da confiança dos investidores e desferiu um golpe significativo na credibilidade da Ethereum à época.
Agora, a confiança em todo o ecossistema DeFi também foi afetada, após a Curve Finance ter sido alvo do mesmo tipo de ataque cibernético.
Mas o que é um ataque de reentrância, afinal?
Principais vulnerabilidades em contratos inteligentes
Ao implantar um contrato inteligente, as equipes de desenvolvimento precisam estar cientes dos vetores de ataque e de como eliminá-los.
Tendo isto em conta, os principais tipos de ataques cibernéticos a smart contracts são:
Ataque de reentrância
Um “reentrancy attack” – como ocorreu no the DAO em 2016 e agora na Curve Finance – é uma manobra maliciosa na qual um invasor chama repetidamente uma função em um contrato inteligente antes que a chamada da função anterior seja concluída, explorando a lógica do contrato para drenar fundos ou manipular dados. Veja aqui uma lista de exploração mantida no GitHub.
Manipulação de Oráculos
Os contratos inteligentes acessam e consomem dados externos de fora da blockchain por meio de um oráculo. Isso permite que eles interajam com sistemas fora da cadeia, como mercados de ações.
Dados incorretos ou manipulados do oráculo podem acionar erroneamente a execução de contratos inteligentes; isso é conhecido como o problema do oráculo. Muitos aplicativos DeFi são explorados usando esse método, sendo o favorito um “ataque de flash loan”.
Gas griefing
Para realizar uma transação ou executar um contrato inteligente em uma plataforma blockchain EVM, os usuários precisam pagar uma taxa de gás – para incentivar os validadores a comprometer os recursos necessários para verificar as transações. O preço do gás é determinado pela oferta, demanda e capacidade da rede no momento da transação.
O gas griefing ocorre quando um usuário envia a quantidade de gás necessária para executar o contrato inteligente de destino, mas não o suficiente para executar subchamadas – chamadas que ele faz para outros contratos.
Assim, se o contrato não verificar se o gás necessário para executar uma subchamada está disponível, a subchamada não será executada conforme o esperado. Isso pode ter um efeito significativo na lógica do aplicativo.
Ataques de dependência de ordem de transação (frontrunning)
Os contratos inteligentes ficam visíveis publicamente a partir do momento em que são enviados à rede como uma transação pendente. Isso permite que uma transação com as taxas de gás mais altas seja selecionada por um validador de um bloco.
Ora, isso também permite que os invasores fiquem atentos a oportunidades em que possam executar contratos lucrativos enviando um contrato idêntico, mas com uma taxa de gás mais alta, para que seu contrato seja processado primeiro.
Como esses ataques precisam ser implementados em frações de segundo, eles geralmente são realizados por bots ou pelos próprios validadores.
Force-feeding attacks
Os ataques de alimentação forçada aproveitam o fato de que os desenvolvedores não podem impedir que um contrato inteligente receba Ether – a criptomoeda nativa da Ethereum.
Isso facilita a transferência de ETH para qualquer contrato – forçando-o a alterar o saldo de Ether que ele detém e, assim, manipular qualquer lógica de função que dependa exclusivamente do saldo esperado para a contabilidade interna, como o pagamento de uma recompensa, se o saldo aumentar acima de um determinado nível.
Dependência de timestamp
O Timestamp é gerado pelo node que executa o contrato inteligente. Devido à natureza distribuída da plataforma Ethereum, é quase impossível garantir a hora em que cada node estará corretamente sincronizada.
Um node pode, então, manipular o valor do carimbo de data/hora que ele usa para criar um ataque lógico contra qualquer contrato que dependa da variável block.timestamp para executar operações críticas de tempo.
Ataque de negação de serviço (DoS)
Como qualquer serviço on-line, os contratos inteligentes são vulneráveis a ataques de DoS. Ao sobrecarregar serviços, como a autenticação, um invasor pode bloquear a execução de outros contratos ou gerar reversões inesperadas de contratos.
Isso pode fazer com que os resultados ou os valores usados em transações financeiras sejam manipulados em benefício do invasor.
Integer underflows and overflows
Os “Integer underflows” and overflows ocorrem quando o resultado de uma operação aritmética fica fora do intervalo de valores de tamanho fixo.
Isso causa alterações inesperadas nas variáveis de estado e na lógica de um contrato e aciona operações inválidas.
Exposição de informações e funções
Blockchains são acessíveis a qualquer pessoa. Informações confidenciais ou sensíveis nunca devem ser salvas em uma blockchain, a menos que estejam criptografadas. As variáveis e funções de um contrato inteligente também podem ser visíveis e acessíveis a outros contratos inteligentes, o que as deixa abertas a possíveis usos indevidos ou abusos.
Agora que já temos uma visão do hack à Curve, sob a ótica da cibersegurança, vamos avançar mais um pouco e entender seus efeitos financeiros.
A queda de preço do CRV, combinado com a baixa liquidez do ativo na rede, fez com que tanto investidores do setor, quanto projetos de empréstimo DeFi reavaliassem sua exposição.
Efeitos diretos do ataque à Curve
Os prejuízos diretos provocados pela exploração da Curve Finance contabilizam milhões em perdas. A projeção inicial – feita por Taylor Monahan , um desenvolvedor MetaMask, foi que os protocolos DeFi perderam cerca de US$ 70 milhões.
Todavia, Monahan observou que ativos significativos foram protegidos por hackers de white hat e bots MEV – sugerindo que alguns desses fundos podem ser recuperados. O que de fato ocorreu.
Cerca de US$ 5,4 milhões foram recuperados com a ajuda de um hacker anônimo.
Agora, parece que o próprio invasor da Curve Finance, está devolvendo os fundos ao protocolo, de acordo com os dados da cadeia.
Um total de 4.820 alETH no valor de US$ 8,5 milhões, foram devolvidos em 3 lotes pelo ciber criminoso, após a Curve solicitar que ele devolvesse os fundos. Veja a carteira associada ao explorador do Curve Finance aqui [Foto: Etherscan]
O invasor aproveitou uma das transações para enviar uma mensagem sobre sua motivação. São muitas razões que motivam os cibercriminosos. Para alguns, pode ser a emoção de infringir a lei com pouca chance de repercussão. Outros estão em busca do ganho financeiro, ou por questões políticas e ideológicas. Há, ainda, como no caso do invasor da Curve Finance, os que buscam diversão e o direito de se gabar após invadir um sistema aparentemente impenetrável. Veja a mensagem que o invasor enviou à Curve:
“Vi algumas opiniões ridículas, então quero esclarecer que estou reembolsando vocês não porque podem me encontrar, mas porque não quero arruinar seu projeto, talvez seja muito dinheiro para muitas pessoas, mas não para mim, sou mais inteligente do que todos vocês“.
Efeitos indiretos
1) O risco de contágio
Apesar dos efeitos diretos terem sido amenizados por um hacker benevolente e pelo próprio invasor, o que mais preocupa agora são os efeitos indiretos do ataque, que se expalharam pelo ecossistema DeFi nos últimos dias.
O ataque renovou as preocupações com relação às atividades de empréstimo do cofundador da Curve, Michael Egorov.
E digo, renovou, porque em junho, a Gauntlet – uma empresa de gerenciamento de riscos – já tinha proposto que a Aave congelasse seu mercado de CRV para mitigar os riscos apresentados pelo que agora é um empréstimo de US$ 59,67 milhões contra US$ 182 milhões em CRV no protocolo. Note que a proposta foi rejeitada pela comunidade da Aave – o principal mercado de DeFi com quase US$ 5 bilhões em valor total bloqueado (TVL).
Egorov fez dívidas consideráveis, garantidos por mais de US$ 100 milhões em tokens CRV nos principais protocolos de empréstimo, incluindo Fraxlend, Abracadabra, Inverse Finance e Aave.
Ainda que Egorov tenha pago algumas de suas dívidas e aumentando os ativos de garantia após o hack, se liquidadas, suas posições ainda acumulariam dívidas impagáveis à Aave e outros protocolos de empréstimo, já que a liquidez na cadeia para CRV é insuficiente para quitar o total dos empréstimos de Egorov.
Daí porque, o principal efeito indireto do ataque à Curve é o risco de contágio a todo o ecossistema DeFi, com as principais plataformas de empréstimo enfrentando uma crise de liquidez.
2) A crise de liquidez
Os credores do DeFi reagiram ao incidente retirando fundos da Aave e de outros protocolos, aumentando as taxas de empréstimo no processo.
No Aave, os custos de empréstimo das principais stablecoins estão em seus níveis mais altos em mais de um ano.
A taxa de empréstimo para o USDC – o maior mercado de stablecoin no Aave V2, com US$ 415 milhões depositados – , está em mais de 22%, depois de ter batido 32% em 31 de julho. O USDC é a segundo maior stablecoin, com uma capitalização de mercado de US$ 26 bilhões.
Enquanto isso, a taxa de empréstimo do USDT saltou para mais de 18%, seu nível mais alto desde março.
O TVL da Aave caiu quase 15% na semana passada e é provável que os depositantes estejam retirando ativos da Aave devido à preocupação de que o protocolo possa ficar com dívidas incobráveis.
Possibilidades
Embora projetos experimentais em finanças abertas sejam alvo de ataques cibernéticos com frequência, os principais protocolos DeFi, como Maker, Aave, Compound, Curve e Uniswap, sempre passaram ilesos e eram considerados seguros.
No entanto, agora que hackers atacaram com sucesso a Curve – drenando uma enorme quantia -, atingindo em cheio a confiança nas principais “Blue-Chips”, uma enxurrada de críticas estão questionando o futuro de DeFi e, pior, apontam o fim da indústria.
A indústria DeFi gastou muito tempo bifurcando protocolos e ainda assim, há claramente uma concentração de força nos maiores nomes como Uniswap, Lido e Maker.
Além disso, os protocolos DeFi deveriam ter sido (e podem ser) projetados para evitar riscos sistêmicos, como liquidações em cascata.
Talvez a pergunta adequada aqui não seja se existe futuro para DeFi? Mas de onde – e se –, realmente virá a próxima fase de crescimento? O que agora é um enorme ponto de interrogação.
Mas e você, acha que a indústria DeFi irá conseguir superar este episódio? Percebeu como o que acontecendo em DeFi agora, não é muito diferente do colapso da FTX – cujo token FTT ajudou a implodir o Grupo, sendo usado como garantia com uma enorme quantidade de alavancagem?
Conhecimento é poder!! E saber Nos vemos em breve!
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.