Em um dos ataques mais sofisticados ao ecossistema de finanças descentralizadas este ano, hackers exploraram uma vulnerabilidade no protocolo DeFi ResupplyFi, resultando em perdas de US$ 9,5 milhões.
O incidente, detectado pela BlockSec Phalcon, afetou especificamente o mercado de wstUSR e expôs graves falhas nos mecanismos de segurança de empréstimos descentralizados.
Manipulação matemática permite golpe milionário
Os atacantes concentraram seus esforços no token cvcrvUSD, um ativo pouco negociado lastreado em stablecoin do Curve Finance, explorando um pool de liquidez quase vazio. Em seguida, depositaram grandes quantidades do token sem o correspondente em USDC, distorcendo artificialmente seu valor de mercado.
Os pools de liquidez são reservas de tokens que permitem negociações descentralizadas, onde o preço dos ativos é determinado automaticamente por algoritmos matemáticos. No caso do ataque ao ResupplyFi, os exploradores escolheram propositalmente um pool com pouca ou nenhuma liquidez de cvcrvUSD. Justamente porque nesses ambientes escassos, uma única transação grande pode distorcer violentamente os preços.
Ao injetar uma quantidade massiva do token cvcrvUSD sem adicionar o equivalente em stablecoins, os criminosos manipularam artificialmente a cotação. Criando, assim, a brecha que permitiu o empréstimo milionário com garantia irrisória.
Confira nossas sugestões de Pre-Sales para investir agora
O protocolo DeFi, ao utilizar esses valores distorcidos em seus cálculos de forma invertida, interpretou erroneamente que 1 wei de cvcrvUSD (a menor unidade possível, equivalente a 0,000000000000000001 do token) representava um valor milionário.
Essa falha permitiu que os criminosos obtivessem um empréstimo de US$ 10 milhões em reUSD com garantia insignificante. Dessa forma, burlando completamente os controles de solvência do protocolo.
Rota de fuga complexa
Após o bem-sucedido ataque, os hackers converteram rapidamente os recursos em USDC através das plataformas Curve e Uniswap, posteriormente transformando-os em Wrapped Ethereum (WETH). Essa operação rendeu um lucro líquido estimado em US$ 9,5 milhões, segundo análises especializadas.
Além disso, a investigação da PeckShield revelou uma sofisticada estratégia de lavagem: os criminosos iniciaram o processo com uma transação de 2 ETH na Cow Swap, direcionando os valores para o Tornado Cash – serviço conhecido por dificultar o rastreamento de criptoativos. Após esta etapa de anonimização, os fundos foram alocados em um contrato especialmente desenvolvido para explorar a vulnerabilidade do ResupplyFi.
Relatório da CertiK destacou que os produtos do roubo foram posteriormente divididos em duas carteiras distintas: US$ 5,56 milhões para um endereço e US$ 4 milhões para outro, completando a operação com sucesso. Este caso serve como alerta para a necessidade de maior rigor nos mecanismos de verificação de preços e liquidez nos protocolos DeFi, sobretudo em mercados menos movimentados.
- Leia também: Bases nucleares iranianas abrigavam mineradoras de Bitcoin? Queda na rede levanta suspeitas
