O protocolo de finanças descentralizadas (DeFi) Badger DAO foi vítima de uma grande falha que resultou num ataque hacker. Como resultado, o protocolo perdeu cerca de US$ 120 milhões, ou R$ 676 milhões na cotação atual.
Inicialmente, usuários do protocolo relataram problemas no Discord do Badger DAO ainda na quarta-feira (1). Cinco horas depois, já na quinta-feira (2), a PeckShield, empresa de segurança em blockchain, confirmou o ataque.
No total, a falha comprometeu 2.100 Wrapped Bitcoins (WBTC) e 151 Ether (ETH). De acordo com a PeckShield, um usuário teria perdido, sozinho, cerca de 900 WBTC, o que corresponde a R$ 289 milhões.
Falha mais profunda do que o esperado
Até o momento da escrita deste texto, a Badger DAO não explicou o que motivou o ataque, mas entre os investidores e usuários, a especulação atual é que o ataque ocorreu por causa de uma exploração na interface do usuário do site da Badger.
Ou seja, o problema estaria presente no site e não nos contratos principais do protocolo. Segundo relatos de usuários, ao acessar o site da Badger DAO, os provedores de carteira solicitavam permissões para fazer retiradas das carteiras.
Confira nossas sugestões de Pre-Sales para investir agora
“O Badger recebeu relatórios de retiradas não autorizadas dos fundos do usuário. Todos os contratos inteligentes foram pausados para evitar novas retiradas e nossos engenheiros estão analisando a situação. Nossa investigação está em andamento e lançaremos mais informações o mais rápido possível.”
Cabe destacar que o WBTC é um token criado na rede Ethereum que emula o preço do BTC. Ou seja, não houve perda direta de BTC, mas sim um ataque que roubou tokens do Ethereum. O protocolo também sofreu perdas em outros tokens sintéticos: 136 mil cvxCRV (CRV Convexo), 64 mil veCVX e outros.
Possível rug pull
No entanto, alguns usuários especulam que o atacante realizou os roubos sorrateiramente, com aprovações entre o depósito legítimo e as transações de recompensa. Por isso, surgiram especulações de que isso poderia ser um ataque de rug pull (puxão de tapete).
O rug pull é um ataque no qual os desenvolvedores abandonam um projeto e fogem com os fundos dos investidores. Este ataque normalmente ocorre de maneira paulatina, com saques intervalados, visando não despertar suspeitas.
Um famoso ataque de rug pull ocorreu com o Squid Token (SQUID), mas nesse caso o roubo ocorreu em apenas cinco minutos. Como resultado, o token caiu de R$ 16 mil para R$ 0,01 neste pequeno intervalo de tempo.
No entanto, o desenvolvedor Tritium, que colabora com a Badger, disse que alguns usuários podem ter aprovado o endereço de exploração para operar em seus fundos de cofre. Dessa forma, também houve erro humano no processo.
“Parece que muitos usuários tinham aprovações definidas para o endereço de exploração que permite [o endereço] operar em seus fundos do cofre e que foi explorado. Uma vez que percebemos, congelamos todos os cofres, então nada pode se mover. Estão tentando descobrir onde vieram as aprovações, quantas pessoas as têm, e quais são os próximos passos”, disse.
O ataque à Badger DAO é o segundo de grande porte movido contra um protocolo DeFi em menos de três dias. Uma falha no protocolo MonoX resultou na perda de R$ 150 milhões na segunda-feira (30), conforme noticiou o CriptoFácil.
Leia também: Vitreo lança mais dois fundos de criptoativos com foco em Smart Coins
Leia também: Binance Smart Chain implementa com sucesso esquema de queima contínua de BNB
Leia também: Pool de staking de token do Santos entra em operação na PancakeSwap: veja como ganhar
