No dia 17 de fevereiro, o CriptoFácil publicou uma notícia sobre um hacker ter obtido US$360 mil em Ethereum em apenas uma transação. Poucos dias depois, o mesmo hacker conseguiu obter aproximadamente US$640 mil explorando a mesma falha – totalizando cerca de US$1 milhão em prejuízo.
A ferramenta explorada pelo hacker foi o flash loan, ou contrato-relâmpago, uma nova ferramenta na esfera de finanças descentralizadas (DeFi) da rede Ethereum. Abaixo, saiba como o ataque foi executado.
Tudo em 15 segundos
De acordo com um relatório da Paradigma Education publicado no dia 19 de fevereiro, foi explicado como o ataque foi realizado. Ao todo, apenas US$8 em taxas transacionais foram gastos pelo hacker, que conseguiu cerca de US$1 milhão.
Para entender como o ataque foi executado, é necessário entender o que é um flash loan. As plataformas DeFi oferecem empréstimos descentralizados, sem a necessidade de intermediários, bastando colateralizar o empréstimo.
Os flash loan sequer cobram a necessidade de colateralização, mas com um porém: é necessário que o empréstimo seja pago ainda no mesmo bloco, ou seja, cerca de 15 segundos após ser iniciado o procedimento.
O relatório da Paradigma explica:
“O intuito original do mecanismo é facilitar a arbitragem, o que, no fim das contas, ajuda a manter os mercados eficientes. Arbitragem tem um custo de capital alto – pois agora, quem enxerga uma oportunidade do tipo tem acesso a capital “praticamente gratuito” para executá-la. Desde que, é claro, o circuito (a sequência de trades) todo caiba em uma única cadeia de transações.”
Para executar o ataque dentro do tempo limite, o hacker fez uma série de transações que dividiram o montante tomado como empréstimo e devolveu com juros, obtendo lucro por meio do valor excedente. Abaixo, a imagem detalhe de forma bem simples como foi executado o ataque:
- Imagem obtida do relatório da Paradigma
O hacker utilizou uma série de plataformas para manipular o valor, pagar o empréstimo e lucrar sobre o valor adquirido inicialmente, que foi 10.000 ETH no primeiro esquema.
O relatório ressalta que nenhuma plataforma emissora de empréstimos é lesada no processo, restando o dano para os ativos oferecidos e suas plataformas nativas – no caso explicado no artigo, Ethereum e seu token Ether.
O parágrafo final conclui que é pouco provável que flash loans sejam excluídos do sistema, uma vez que o risco para quem faz o empréstimo é “baixíssimo”.
Leia também: Tribunal irlandês apreende US$56 milhões em Bitcoin de traficante de drogas