Como Deus Finance foi explorado para $13.4M

O aplicativo de finanças descentralizadas (DeFi) Deus Finance foi explorado pela segunda vez em um espaço de dois meses. Os invasores conseguiram obter mais de $13,4 milhões em criptomoedas nas primeiras horas da Ásia hoje, de acordo com pesquisadores de segurança da PeckShield. A exploração ocorreu na Rede Fantom. Após vários relatórios do PeckShield, a equipe por trás da Fantom Network conseguiu identificar e mitigar a exploração. No entanto, houve preocupações sobre a usabilidade dos protocolos DeFi devido à sua suscetibilidade a ataques como esses, nos quais uma grande quantidade de criptomoeda é perdido. O fato de não ser um incidente isolado também deve ser motivo de preocupação

Deus Finance é um protocolo DeFi construído na Fantom Network. Ele permite que os usuários ganhem juros em suas participações em criptomoedas, apostando-as no protocolo. As taxas de juros são variáveis e dependem da quantidade de moeda apostada. Deus Finance permite que os desenvolvedores criem serviços financeiros, como negociação de futuros, empréstimos e opções em sua plataforma.

Os invasores conseguiram explorar uma falha no protocolo Deus Finance e criar novos tokens sem precisar apostar nenhum. O ataque usou um empréstimo em flash para enganar a maneira como os contratos inteligentes de Deus leem dados nos pools de liquidez da plataforma. Isso permitiu que o invasor inflasse artificialmente o valor de alguns ativos, emprestasse fundos e obtivesse lucro após pagar o empréstimo.

Cerca de $143 milhões foram emprestados como um empréstimo instantâneo, os dados do blockchain parecem mostrar. O hacker conseguiu um lucro de $13,4 milhões. PeckShield disse que as perdas totais para o protocolo podem ser muito maiores.

Usando o empréstimo em flash, os atacantes de Deus foram capazes de manipular temporariamente os preços em um pool de liquidez composto pela stablecoin USD Coin (USDC) e DEI, e usar o preço manipulado do DEI para emprestar e drenar o pool. O atacante então pagou o empréstimo usando USDC, antes de retirar o USDC e o DEI.

Empréstimos relâmpago permitem que os usuários de DeFi contratem empréstimos com garantia zero. Isso não é mágica criptográfica ou dinheiro grátis: o empréstimo deve ser reembolsado antes que a transação termine ou o contrato inteligente reverte a transação – como se o empréstimo nunca tivesse existido.

A notícia do hack causou ondas de choque na comunidade DeFi, com alguns usuários apontando o dedo para a empresa de auditoria Certik, que auditou os contratos inteligentes de Deus. No entanto, em um comunicado divulgado hoje, a Certik disse que utilizou uma ferramenta de auditoria de software de terceiros que não foi capaz de detectar o problema.

A Certik disse que agora realizará auditorias adicionais, melhorará seu processo atual e trabalhará com outros auditores de contratos inteligentes para estabelecer as melhores práticas para testes automatizados de segurança de contratos. No momento da redação deste artigo, ainda não está claro quem está por trás desse ataque.

Esta não é a primeira vez que um empréstimo flash é usado para explorar um protocolo DeFi. Em fevereiro, um invasor usou um empréstimo em flash para explorar o Compound, outro protocolo DeFi onde os usuários podem ganhar juros sobre seus ativos criptográficos. Como resultado do exploit, $13,4 milhões foram roubados da Deus Finance. Mesmo que o ataque tenha acontecido em 2020, só agora a equipe por trás do Deus Finance divulgou seus detalhes enquanto trabalhava para restaurar todos os fundos perdidos

A equipe de Deus diz que já corrigiu o problema e está trabalhando para recuperar os fundos. Também interrompeu todas as negociações na plataforma enquanto realiza uma auditoria completa

Últimas notícias