Foto: Reprodução / Badger DAO
O protocolo de finanças descentralizadas (DeFi) Badger DAO foi vítima de uma grande falha que resultou num ataque hacker. Como resultado, o protocolo perdeu cerca de US$ 120 milhões, ou R$ 676 milhões na cotação atual.
Inicialmente, usuários do protocolo relataram problemas no Discord do Badger DAO ainda na quarta-feira (1). Cinco horas depois, já na quinta-feira (2), a PeckShield, empresa de segurança em blockchain, confirmou o ataque.
No total, a falha comprometeu 2.100 Wrapped Bitcoins (WBTC) e 151 Ether (ETH). De acordo com a PeckShield, um usuário teria perdido, sozinho, cerca de 900 WBTC, o que corresponde a R$ 289 milhões.
Até o momento da escrita deste texto, a Badger DAO não explicou o que motivou o ataque, mas entre os investidores e usuários, a especulação atual é que o ataque ocorreu por causa de uma exploração na interface do usuário do site da Badger.
Ou seja, o problema estaria presente no site e não nos contratos principais do protocolo. Segundo relatos de usuários, ao acessar o site da Badger DAO, os provedores de carteira solicitavam permissões para fazer retiradas das carteiras.
“O Badger recebeu relatórios de retiradas não autorizadas dos fundos do usuário. Todos os contratos inteligentes foram pausados para evitar novas retiradas e nossos engenheiros estão analisando a situação. Nossa investigação está em andamento e lançaremos mais informações o mais rápido possível.”
Cabe destacar que o WBTC é um token criado na rede Ethereum que emula o preço do BTC. Ou seja, não houve perda direta de BTC, mas sim um ataque que roubou tokens do Ethereum. O protocolo também sofreu perdas em outros tokens sintéticos: 136 mil cvxCRV (CRV Convexo), 64 mil veCVX e outros.
No entanto, alguns usuários especulam que o atacante realizou os roubos sorrateiramente, com aprovações entre o depósito legítimo e as transações de recompensa. Por isso, surgiram especulações de que isso poderia ser um ataque de rug pull (puxão de tapete).
O rug pull é um ataque no qual os desenvolvedores abandonam um projeto e fogem com os fundos dos investidores. Este ataque normalmente ocorre de maneira paulatina, com saques intervalados, visando não despertar suspeitas.
Um famoso ataque de rug pull ocorreu com o Squid Token (SQUID), mas nesse caso o roubo ocorreu em apenas cinco minutos. Como resultado, o token caiu de R$ 16 mil para R$ 0,01 neste pequeno intervalo de tempo.
No entanto, o desenvolvedor Tritium, que colabora com a Badger, disse que alguns usuários podem ter aprovado o endereço de exploração para operar em seus fundos de cofre. Dessa forma, também houve erro humano no processo.
“Parece que muitos usuários tinham aprovações definidas para o endereço de exploração que permite [o endereço] operar em seus fundos do cofre e que foi explorado. Uma vez que percebemos, congelamos todos os cofres, então nada pode se mover. Estão tentando descobrir onde vieram as aprovações, quantas pessoas as têm, e quais são os próximos passos”, disse.
O ataque à Badger DAO é o segundo de grande porte movido contra um protocolo DeFi em menos de três dias. Uma falha no protocolo MonoX resultou na perda de R$ 150 milhões na segunda-feira (30), conforme noticiou o CriptoFácil.
Leia também: Vitreo lança mais dois fundos de criptoativos com foco em Smart Coins
Leia também: Binance Smart Chain implementa com sucesso esquema de queima contínua de BNB
Leia também: Pool de staking de token do Santos entra em operação na PancakeSwap: veja como ganhar