O protocolo de empréstimo do setor de finanças descentralizadas (DeFi), Sturdy Finance, foi vítima de um ataque nesta segunda-feira (12) que resultou na perda de 442 Ether (ETH), ou seja, cerca de R$ 3,7 milhões.
De acordo com informações preliminares, o hacker explorou uma vulnerabilidade de reentrância e, com isso, conseguiu manipular um oráculo de preço defeituoso e desviar as criptomoedas.
Essa vulnerabilidade permite que um invasor execute de forma repetida partes específicas de um contrato inteligente em DeFi antes que as transações anteriores sejam concluídas, levando a comportamentos inesperados e potencialmente prejudiciais. Isso, por sua vez, permite que o invasor retire mais fundos do que legitimamente teria direito.
O Sturdy é um protocolo DeFi para empréstimos sem juros e empréstimos de alto rendimento. Em vez de cobrar juros dos mutuários, Sturdy aposta suas garantias e repassa o rendimento aos credores.
DeFi: Sturdy Finance sofre ataque
No caso do Sturdy Finance, o invasor manipulou o oráculo de preços do protocolo, cuja função é determinar o valor de mercado preciso dos ativos em um pool de liquidez que o protocolo DeFi gerencia na plataforma descentralizada Balancer, de acordo com a empresa de segurança BlockSec.
Confira nossas sugestões de Pre-Sales para investir agora
O invasor chamou repetidamente o pool B-stETH-STABLE antes da execução das transações anteriores. Isso fez com que o oráculo de preços do pool funcionasse mal e refletisse um aumento de três vezes.
Como resultado da exploração, a equipe Sturdy Finance teve que suspender todos os seus mercados para evitar mais perdas potenciais. Por isso, os usuários de stablecoins e de ETH não podem se retirar dos pools da Sturdy.
“Estamos cientes da exploração relatada do protocolo Sturdy. Todos os mercados foram pausados; nenhum fundo adicional está em risco e nenhuma ação do usuário é necessária no momento”, disse a equipe. “Estaremos compartilhando mais informações assim que as tivermos.”
Após o ataque, os dados na blockchain mostram que o invasor usou o mixer de ativos digitais Tornado Cash para ocultar o “caminho do dinheiro”.
- Leia também: Ethereum anuncia novidades para próximo hard fork