O protocolo DeFi dForce sofreu uma perda de mais de $ 3.6 milhões, que o hacker conseguiu desviar graças a um ataque de reentrância executado nas cadeias Arbitrum e Optimism.
O ataque ocorreu devido a uma vulnerabilidade em uma função de contrato inteligente que permitia aos usuários calcular os preços do oráculo quando conectados ao Curve Finance.
Mais de $ 3.6 milhões perdidos
Um hacker conseguiu desviar US$ 3.6 milhões em criptomoedas por meio de um ataque de reentrada no protocolo dForce DeFi. O hacker foi capaz de direcionar o cofre do protocolo na Curve Finance, uma plataforma automatizada de criação de mercado (AMM) operando nas blockchains Arbitrum e Optimism. O hack foi revelado pelo usuário do Twitter @ZoomerAnon, que tuitou que a dForce havia perdido cerca de US$ 1.7 milhão por meio de uma série de transações de empréstimos rápidos executadas na Optimism Chain. A empresa de segurança Blockchain PeckShield confirmou o ataque e estimou os danos em cerca de 2300 ETH, no valor de cerca de US$ 3.65 milhões.
DeForce também confirmou o ataque em seu Twitter oficial, acrescentando que havia pausado todos os cofres para evitar danos adicionais.
“Em 10 de fevereiro, nossos cofres da curva wstETH/ETH no Arbitrum & Optimism foram explorados e imediatamente pausamos todos os cofres. A vulnerabilidade foi identificada e a exploração era específica do cofre wstETH/ETH-Curve da dForce. Os fundos dos usuários fornecidos ao dForce Lending e outros cofres são SEGUROS.”
Detalhes do ataque
De acordo com os detalhes disponíveis sobre o ataque, o hacker conseguiu explorar uma vulnerabilidade de reentrância que estava presente em uma função de contrato inteligente usada pela dForce para obter preços de oráculo da Arbitrum e da Optimism. Os ataques de reentrância ocorrem quando um hacker é capaz de explorar um bug em um contrato inteligente, permitindo que ele retire fundos repetidamente, transferindo-os para um contrato não autorizado. Sabe-se que esses ataques ocorrem em protocolos vinculados ao Curve Finance.
A empresa de segurança Blockchain PeckShield explicou que, no caso desse ataque, o hacker foi capaz de manipular o preço do ETH estacado embrulhado no cofre da Curve (wstETHCRV-gauge) e liquidar várias posições de empréstimos instantâneos. Até agora, os fundos ainda estão na conta do hacker. DeForce interrompeu todos os contratos para evitar perdas adicionais ao protocolo e enfatizou que os fundos dos clientes permanecem seguros. DeForce também afirmou que o invasor criou uma dívida de protocolo de $ 2.3 milhões e também acrescentou que ofereceria ao invasor uma recompensa se os fundos fossem devolvidos.
“Entramos em contato com a empresa de segurança @SlowMist_team e nossos parceiros de ecossistema para investigar o assunto e gostaríamos de oferecer uma recompensa ao explorador se os fundos fossem devolvidos. Fique ligado para mais atualizações.”
O DeFi é um alvo fácil?
O último ataque ao dForce ocorreu dois anos depois que o protocolo perdeu US$ 25 milhões em um grande ataque ao protocolo. No entanto, o invasor devolveu quase todos os fundos roubados. Embora o ataque mais recente tenha roubado uma quantia significativamente menor, é o mais recente de uma longa linha de ataques visando o ecossistema DeFi, que é um dos ecossistemas de criptografia que mais cresce. De acordo com um relatório publicado pela TRM Labs, mais de US$ 3.7 bilhões foram perdidos devido a hacks de criptomoedas em 2022, com mais de 80% desse número de exploits DeFi.
A onda de hacks e as enormes perdas relatadas obviamente atraíram a atenção dos reguladores, que incluem a União Européia. Os reguladores se comprometeram a trabalhar para introduzir novas mudanças nas políticas para ajudar a melhorar a supervisão do DeFi pelos órgãos reguladores.
Isenção de responsabilidade: este artigo é fornecido apenas para fins informativos. Não é oferecido ou tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost