Em um relatório sobre o incidente publicado no domingo (20), o protocolo DeFi revelou que um hacker obteve acesso a uma conta que gerenciava algumas de suas funções de administração.
A abundância de exploits de DeFi
O relatório acrescentou que o hacker conseguiu remover fundos de depósitos que ainda não haviam sido inseridos nas posições de liquidez.
A Visor relatou que o valor roubado equivale a cerca de 16,7% de seu TVL de US$ 3 milhões, ou seja, US$ 500.000. Ela confirmou que os hackers não eram membros do time e, portanto, não contavam com um entendimento compreensivo das salvaguardas de retiradas de emergência.
“Os fundos roubados, portanto, equivaliam a ativos ainda não posicionados e, portanto, a cifra de US$ 500.000 não era arbitrária.”
A Visor Finance confirmou que usou sua reserva para substituir o que foi roubado antes de detalhar como a invasão ocorreu.
Conta de administrador comprometida
O protocolo Visor oferece um recurso chamado de “cofre inteligente”, que é um token não-fungivel (NFT) usado para criar e depositar ativos. Ele é então usado para interagir com um “Hypervisor” – um contrato inteligente que conecta ativos no cofre com protocolos DeFi externos.
O comprometimento no ataque ocorreu durante a incursão no Hypervisor e o time admitiu sua culpa por ter um único acesso de admin e não uma conta com várias assinaturas.
“Mas, dito isso, nosso erro foi não usar uma conta com múltiplas assinaturas para todas as funções de administrador do Hypervisor. Isto já foi corrigido.”
A Visor apontou que o recurso foi inicialmente desenhado desta forma porque não era prático ter múltiplas assinaturas para gerencias rebalanços frequentes em múltiplos pares toda vez que um rebalanço fosse necessário. Ela acrescentou que uma função de retirada de emergência foi implementada para testas os Hypervisos pendentes com uma auditoria do protocolo como salvaguarda caso os fundos precisem ser recuperados.
O protocolo DeFi confirmou que os próprios contratos inteligentes não foram abusados e as praticas padrão da indústria serão usadas a partir de agora.
“Nós percebemos a importância do gerenciamento de permissões e só vamos adotar padrões da indústria e as melhores práticas a partir de agora. Nós reconhecemos que este é um espaço de design complexo já que ele lida tanto com gerenciamento ativo e segurança de fundos.”
Na última semana, o protocolo DeFi Iron Finance sofreu perdas pesadas devido ao que foi descrito como uma “corrida ao banco cripto”.
A queda de preço de token VISR
O token nativo do protocolo despencou 64% no momento do incidente, passando de US$ 0,95 para US$ 0,34, segundo o CoinGecko.
No momento em que este artigo era escrito, o VISR era negociado a US$ 0,51, uma baixa de 55% na semana e 87% desde sua máxima de US$ 4,11 no dia 5 de maio. O valor total trancado (TVL) é de cerca de US$ 1,2 milhões de acordo com o DeFi Llama, uma queda de 66% de seu máximo de US$ 3,5 milhões no dia 17 de junho.
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.