As finanças descentralizadas (DeFi) às vezes são criticadas como o “oeste selvagem” da indústria de criptomoedas. Se os US$ 2,32 bilhões roubados de vários protocolos até agora este ano pudessem ser usados como uma descrição precisa do estado deste segmento, então os críticos estão tendo razão.
Argumentado para ter começado com o lançamento do Bitcoin em 2009, o DeFi realmente decolou em 2020 com o lançamento da chamada estratégia de investimento de “yield farming” da Compound Finance.
Agora, milhares de aplicativos descentralizados, ou dApps, estão em uso. O DeFiLlama relata que mais de US$ 53,73 bilhões estão bloqueados em DeFi – números tão grandes que chamaram a atenção de atores indesejados – os hackers.
Hacks DeFi
DeFi é um setor da indústria cripto que permaneceu fiel ao ethos fundamental do Bitcoin de descentralização e privacidade, mantendo o distanciamento cínico da supervisão governamental. Sem controle, no entanto, essas liberdades vêm com grande risco.
De acordo com a empresa de segurança blockchain PeckShield, os hackers roubaram mais de US$ 2,32 bilhões em mais de 135 ataques da indústria DeFi até agora este ano. O número é 50% maior do que o que foi roubado de todo o setor durante o ano de 2021.
Ao longo dos anos, os invasores online empregaram uma variedade de táticas para realizarem seus trabalhos. Os métodos de ataque mais usados incluem honeypot, golpe de saída, exploração, controle de acesso e empréstimo instantâneo, diz o banco de dados REKT.
Dessa forma, listamos as dez principais explorações vistas no setor DeFi em 2022 até agora, de acordo com dados da PeckShield.
Rede Ronin: Perda – US$ 620 milhões
A Ronin Network, sidechain baseada em Ethereum (ETH) para o jogo play-to-earn (P2E) Axie Infinity, foi invadida em março, tendo um prejuízo de mais de US$ 620 milhões em ETH e USDC. O invasor “usou chaves privadas hackeadas para forjar saques falsos” do contrato da rede em duas transações.
A exploração, que ocorreu em 23 de março, só foi descoberta uma semana depois, quando um usuário não conseguiu retirar 5.000 ETH. No total, o hacker fugiu com 173.600 ETH e 25,5 milhões de USDC, avaliados no total em mais de US$ 620 milhões na época.
O hack na Ronin é considerado o maior hack DeFi da história. Ele continua sendo o maior até agora este ano, diz a PeckShield.
Ponte Wormhole: Perda – US$ 320 milhões
Em 2 de fevereiro, um invasor desviou mais de US$ 320 milhões em ETH do protocolo Wormhole, uma popular ponte de cadeia cruzada entre Solana, Ethereum, Avalanche e outras blockchains.
Os usuários do Wormhole são obrigados a realizar staking de Ethereum para cunhar novos ETH, um tipo de criptografia que está atrelada ao preço do ativo.
A empresa de análise Elliptic culpou o exploit pela falha do Wormhole em validar contas “guardiãs”. permitindo que o invasor tivesse cunhado 120.000 wETH sem que o Ethereum o apoiasse. O hacker então trocou 93.750 wETH por ETH e trocou o restante por SOL. O valor total da perda foi superior a US $ 320 milhões na época.
Ponte Nomad: Perda – US$ 190 milhões
Em 2 de agosto, hackers drenaram cerca de US$ 190 milhões em criptomoedas da Nomad, uma ferramenta que permite aos usuários trocar tokens de uma blockchain para outra.
O ataque começou com uma atualização do código da plataforma. Uma seção do contrato inteligente foi marcada como válida sempre que os usuários fizerem uma transação. Isso permitiu que os hackers retirassem mais ativos do que os depositados na plataforma.
Os hackers repetiram o processo até que US$ 190 milhões em criptomoedas foram retirados da ponte. A Nomad só notou a ação dos invasores quando já era tarde demais.
Beanstalk Farms: Perda de US$ 182 milhões
Em abril, um invasor drenou US$ 182 milhões em criptomoedas da Beanstalk Farms, um protocolo DeFi destinado a equilibrar a oferta e a demanda de diferentes ativos e criptomoedas.
A PeckShield disse que o invasor explorou o sistema de governança de votos majoritários do Beanstalk e votou para enviar US$ 182 milhões. O invasor usou um empréstimo instantâneo para obter uma participação controladora no protocolo, mas seu lucro real foi de apenas US$ 80 milhões, disse a empresa.
Wintermute: Perda de US$ 160 milhões
Wintermute é o mais recente protocolo DeFi a ser vítima de hackers, que fugiram com US$ 160 milhões da seção financeira descentralizada da plataforma. O CEO, Evgeny Gaevoy, disse que o hack estava ligado a um bug crítico na ferramenta de geração de endereços de vaidade Ethereum Profanity.
Ele disse que o Wintermute usou a ferramenta para gerar um endereço único para cortar custos de transação, nunca por “vaidade”. O erro humano parece estar por trás desse ataque em particular.
Elrond: Perda – US$ 113 milhões
Em junho, hackers exploraram uma brecha na exchange descentralizada (DEX) Maiar para roubar cerca de 1,65 milhão de elrond egold (EGLD), o token nativo da blockchain Elrond. Os pesquisadores disseram que o invasor implantou um contrato inteligente e usou três carteiras para roubar cerca de US$ 113 milhões em EGLD da exchange.
Os hackers imediatamente venderam 800.000 unidades do token por US$ 54 milhões na mesma DEX, e o restante foi vendido em exchanges centralizadas ou trocado por ETH.
Ponte Horizon: Perda – US$ 100 milhões
Apenas alguns dias após a exploração de Elrond, os hackers atacaram novamente em 23 de junho, atingindo a ponte Horizon por quase US$ 100 milhões. Horizon é uma plataforma de interoperabilidade crosschain entre as redes Ethereum, Binance Smart Chain e Harmony.
A PeckShield revelou que mais de US$ 98 milhões em vários tokens foram drenados da plataforma gerenciada pela Harmony e trocados por ETH. Mais de 50.000 carteiras de usuários foram afetadas. Mais tarde, os hackers movimentaram US$ 35 milhões através do Tornado Cash.
Qubit Finance: Perda – US$ 80 milhões
O protocolo DeFi disse em 28 de janeiro que havia sido explorado por um invasor que roubou 206.809 moedas BNB de seu protocolo QBridge. No total, os tokens foram avaliados em US$ 80 milhões.
De acordo com a empresa de segurança Certik, o invasor aproveitou uma opção de depósito no contrato QBridge para cunhar 77.162 qXETH – algum tipo de ativo cripto usado para representar o Ethereum conectado via Qubit. O invasor enganou a plataforma ao acreditar que eles fizeram um depósito. Depois de repetir o processo várias vezes, eles trocaram os ativos pelo BNB e desapareceram.
Cashio: Perda – US$ 48 milhões
Cashio, um protocolo de stablecoin baseado na Solana, sofreu o que a equipe chamou de “falha de mintagem infinita” em março. Os hackers desviaram US$ 48 milhões do protocolo, provocando um colapso da stablecoin CASH.
O Cashio permite que os usuários cunhem a stablecoin CASH com todos os depósitos apoiados por tokens de provedor de liquidez com juros. O hacker cunhou bilhões de CASH e os trocou por USDC e UST, fazendo o ativo entrar em colapso, antes de retirar os fundos através da DEX Saber.
A paridade da stablecoin ao dólar caiu para $0 após o hack. O invasor devolveu dinheiro para contas com menos de US$ 100.000 e prometeu doar o restante para caridade. Essa é a última vez que ouvimos falar do projeto, que praticamente morreu após este ataque.
Scream: Perda – US$ 38 milhões
A plataforma de empréstimos baseada em Fantom Scream sofreu talvez uma das explorações mais descuidadas do setor DeFi este ano, do ponto de vista da segurança do protocolo. A Scream assumiu uma dívida de US$ 38 milhões depois que as stablecoins Fantom USD (fUSD) e DEI, cujo valor havia sido fixado em US$ 1, perderam sua paridade com o dólar.
Como o protocolo havia codificado o valor das duas stablecoins, um declínio no valor dos ativos não apareceu no Scream. As baleias utilizaram essa brecha para drenar o protocolo de quaisquer outras stablecoins valiosas enquanto depositavam o fUSD e o DEI desvinculados.
Um total de US$ 38 milhões nas stablecoins FRAX, USDT, USDC e MIM foram retirados da rede. Após o incidente, a Scream abandonou os preços e mudou para os oráculos Chainlink para obter dados de preços em tempo real. As baleias guardavam seus saques.
O que aconteceu com os bilhões roubados nestes ataques hackers?
Bem, foram perdidos. Boa parte permanentemente. A PeckShield disse que cerca de 50%, ou US$ 1,16 bilhão, do dinheiro roubado dos protocolos acima foi lavado via Tornado Cash, o misturador de criptomoedas baseado em Ethereum sancionado pelo governo dos EUA em agosto – algo que provocouuma forte reação da comunidade de criptomoedas.
O Tornado Cash permite que os usuários ofusquem o histórico de suas transações financeiras, dificultando assim o seu rastreamento. De acordo com o FBI, o mixer foi aproveitado por grupos de hackers ligados à Coreia do Norte, como o Lazarus Group, para lavar mais de US$ 7 bilhões em criptomoedas desde 2019.
Enquanto os hackers desapareceram com bilhões, os protocolos DeFi afetados fizeram uma série de tentativas de recuperar seu dinheiro, com poucas tendo sucesso. Uma maneira de fazer isso é simplesmente implorar ao invasor que devolva o ganho ilícito em troca de algum tipo de incentivo. Ou nenhum.
A Qubit Finance tentou isso e ofereceu uma recompensa de US$ 2 milhões, o máximo que poderia oferecer por qualquer alegação de hacking. Não funcionou. Harmony brincou com a mesma ideia também. Ofereceu uma recompensa de US$ 1 milhão pela devolução dos US$ 100 milhões roubados da ponte Horizon e prometeu não apresentar acusações criminais. Os hackers ignoraram a chamada. Nada foi recuperado.
No entanto, uma estratégia semelhante funcionou para a Poly Network em agosto de 2021, com o invasor devolvendo a maior parte dos US$ 600 milhões roubados. Essa sorte se estende a Ronin. No início deste mês, a rede recuperou US$ 30 milhões do dinheiro perdido, com a ajuda da empresa de segurança Chainalysis, do Tesouro dos EUA e do FBI. Mas isso é apenas 5% dos US$ 620 milhões que foram roubados. O FBI estima que cerca de US$ 455 milhões foram lavados via Tornado Cash pelo Lazarus Group, o suposto agressor.
Os hackers da Nomad também enviaram US$ 9 milhões para a plataforma um dia após a exploração da ponte por US$ 190,4 milhões. Depois de uma recompensa de 10% em quaisquer fundos devolvidos, hackers brancos recuperaram outros US$ 32 milhões do total saqueado e o devolveram à ponte. O resto, grande parte, foi embaralhado entre diferentes endereços pelo hacker, enquanto eles tentavam desesperadamente manter sua riqueza roubada. Eles fizeram.
O Wormhole nunca recuperou seus US$ 320 milhões. Tinha que ser resgatado. O Jump Trading Group, que tem participação no protocolo, interveio para substituir os 120.000 em ETH roubados, depois que a vulnerabilidade foi corrigida.
Como não sofrer hacks DeFi
Claramente, as pontes blockchain parecem ser o elo mais fraco de todo o setor DeFi. Porém, existem maneiras de indivíduos e protocolos se manterem seguros.
“É necessário redigir termos de referência claros ao desenvolver projetos, cobrir a funcionalidade dos projetos com testes o máximo possível para evitar erros lógicos”, disse Alex Belets, fundador da empresa de segurança blockchain Smart State, ao Be[In]Crypto.
“Use scanners de vulnerabilidade automáticos, não tente implementar coisas para as quais existem bibliotecas. Realize auditorias e mantenha suas chaves privadas seguras. Não use aplicativos de terceiros como o Profanity para gerar chaves privadas (o motivo do hack do Wintermute)”, acrescentou ele.
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.