Mais um projeto DeFi foi vítima de um ataque. O Popsicle Finance teve um dos seus pools de liquidez drenado, perdendo mais de R$ 100 milhões. Segundo o The Block, o que possibilitou ao agente mal intencionado pegar toda a liquidez do pool foi um simples bug.
Aproveitando-se do bug, o usuário usou os empréstimos relâmpagos para extrair valores. Um empréstimo relâmpago é quando tokens são emprestados, são aplicados em algo e devolvidos em uma mesma transação.
Entenda o caso
Apenas um dos contratos do Popscile Finance, da rede Ethereum, foi afetado: o Fragola. Trata-se de um contrato inteligente que fornece liquidez e ajuda os provedores de liquidez a maximizar seus ganhos.
O principal desenvolvedor da SushiSwap, Mudit Gupta, explicou o que aconteceu por meio do Twitter. O protocolo utiliza um código que atualiza a situação de um usuário quando fundos são depositados.
Contudo, o código utilizado para ajudar a pagar os usuários pode ser facilmente explorado, segundo Gupta. Isso porque, quando o usuário transfere seu montante para um endereço diferente, as variantes não são atualizadas.
Então, é possível coletar recompensas de uma data anterior ao dia em que os tokens foram depositados. Não apenas isso, mas é possível receber recompensas várias vezes pelo mesmo valor, apenas realizando a mesma transferência várias vezes.
Gupta ainda alerta que, apesar de nada complexo, o bug é bem comum em protocolos DeFi. Em suma, o hacker conseguiu mais recompensas do que deveria não apenas em quantidade, quanto também em relação ao tempo de liquidez fornecida.
Ao todo, US$ 20,7 milhões foram drenados em diferentes criptomoedas. Cerca de R$ 50 milhões foram obtidos em montantes combinados de USDC e USDT.
Além disso, também foram captados Wrapped Ethereum, Wrapped Bitcoin, Dai, Uniswap, Aave e tokens de liquidez do protocolo Popsicle.
É possível conferir as quantias exatas dos valores extraídos conferido o registro da transação na blockchain.
Leia também: ADA pode saltar 3.000% após integração com DeFi, diz Augusto Backes
Leia também: Apesar das correções, 3 criptomoedas podem avançar 50% em agosto
Leia também: Compra de 40% do C6 Bank Pelo JPMorgan é aprovada pelo CADE