Outro protocolo de finanças descentralizadas (DeFi) sofreu um ataque exploit na mesma semana em que houve o maior hack já registrado neste segmento.
O protocolo de empréstimo descentralizado Ola Finance teve um prejuízo de cerca de US$ 4,6 milhões, no que foi descrito como um ataque de reentrada.
O anúncio não foi uma piada do dia 1º de abril para os usuários da plataforma. A equipe afirmou por meio de um post que a rede de empréstimos, que utiliza a blockchain Fuse, foi explorada no dia anterior.
Um total de 216.964 USDC, 507.216 BUSD, 200.000,00 fUSD, 550,45 WETH, 26,25 WBTC e 1,24 milhão de tokens FUSE foram roubados. O valor total era de cerca de US$ 4,67 milhões, segundo a equipe.
A empresa de segurança PeckShield relatou uma quantia de US$ 3,6 milhões sendo roubadas, acrescentando que a perda de protocolo foi maior.
- Não entendeu algum termo do universo Web3? Confira no nosso Glossário!
- Quer se manter atualizado em tudo o que é relevante no mundo cripto? O BeInCrypto tem uma comunidade no Telegram em que você pode ler em primeira mão as notícias relevantes e conversar com outros entusiastas em criptomoedas. Confira!
- Você também pode se juntar a nossas comunidades no Twitter (X), Instagram e Facebook.
Ataque de reentrada
De acordo com a equipe, o ataque explorou uma vulnerabilidade de reentrada no padrão de token ERC677. O bug de contrato inteligente permite que um agente mal-intencionado faça chamadas repetidas ao protocolo para furtar ativos. PeckShield explicou:
“O hack é possível devido à incompatibilidade entre o Compound fork e os tokens baseados em ERC677/ERC777, que têm as funções de callback integradas usadas indevidamente para permitir a reentrada para drenar a pool de empréstimos.”
Inicialmente, o invasor emprestou fundos usando suas próprias garantias. Em seguida, ele aproveitou a vulnerabilidade de reentrada nos contratos inteligentes da Ola para remover a garantia sem pagar o empréstimo.
O ataque inicial envolveu um empréstimo flash de 515 ETH do par WETH/WBTC na Voltage Finance para financiar o assalto. O processo foi repetido e o hacker acabou fugindo com US$ 3,6 milhões em criptomoedas, que foram lavadas pelo serviço de anonimização de transações Tornado Cash.
A equipe afirmou que trabalhará em um plano de compensação, mas não entrou em detalhes sobre como isso será feito.
“Nos próximos dias, divulgaremos um plano de compensação formalizado e detalhando a distribuição de fundos aos usuários afetados.”
Ela também afirmou que entraria em contato com o invasor e ofereceria uma recompensa pelo retorno dos fundos. O token Voltage Finance FUSE caiu 21% nas horas seguintes à exploração e atualmente está sendo negociado a US$ 0,448.
Semana difícil para o setor DeFi
O hack ocorre na mesma semana em que a rede Ronin do Axie Infinity foi explorada e perdeu US$ 615 milhões, no que se tornou o pior ataque hacker da história da indústria DeFi.
A Sky Mavis, empresa por trás do popular jogo P2E, afirmou que está “totalmente comprometida” em reembolsar as vítimas do ataque.
No mês passado, o protocolo de empréstimos DeFi Hundred Finance perdeu cerca de US$ 6,5 milhões em um ataque de reentrada semelhante ao ocorrido com a Ola Finance.
