O protocolo de empréstimos descentralizados Rari Capital foi alvo de um ataque no final de semana. A exploração da falha resultou no roubo de mais US$ 80 milhões, cerca de R$ 400 milhões na cotação em reais.
A exploração foi confirmada por Jack Longarzo, desenvolvedor da Rari Capita. O Fei Protocol, que se fundiu com a Rari no ano passado. também confirmou a invasão. Em seguida, ofereceu ao invasor anônimo uma recompensa de US$ 10 milhões pela devolução dos fundos.
“A equipe Rari e o restante da tribo estão trabalhando para mitigar a perda e recuperar os fundos explorados. Novas atualizações serão fornecidas assim que estiverem disponíveis”, afirmou Longarzo.
Este é o terceiro ataque de grandes proporções ocorrido a um protocolo de finanças descentralizadas (DeFi) em menos de dois meses. Como resultado, mais de R$ 4 bilhões foram roubados somente nesses três ataques.
Falha de reentrada
De acordo com a empresa de segurança em blockchain PeckShield, delineou o “antigo bug de reentrada”. Com essa falha, a segurança do protocolo foi comprometida, o que por sua vez gerou a falha no Rari Capital.
Na sequência, o hacker se aproveitou dessa falha e realizou o ataque. A empresa disse que o valor total roubado ultrapassou US$ 80 milhões.
Outra empresa de segurança, a Block Sec atualizou ainda que o hacker tinha como alvo vários pools de Rari Capital e Fei Protocol. A empresa também confirmou a natureza do ataque e o valor roubado.
Mais tarde, Longarzo também confirmou a ação e revelou as medidas que seriam tomadas. Em primeiro lugar, seis pools de empréstimo do protocolo Rari foram bloqueados. Dessa forma, tokens como USDC, DAI, o token FEI e outros tiveram suas retiradas bloqueadas.
Markets with bad debt are as follows:
Pool 8: Fei, Dai
Pool 18: Dai, USDC, Frax, Fei, Rai
Pool 27: Frax, Fei
Pool 127: USDC, Dai, Frax
Pool 144: Fei, Frax, Dai
Pool 156: Fei, Frax, Dai, USDC— Jack Longarzo (@JackLongarzo) April 30, 2022
O desenvolvedor também prometeu que a equipe está trabalhando para mitigar as perdas e recuperar os fundos explorados. A recompensa de US$ 10 milhões foi oferecida ao hacker neste contexto, mas o atacante não se manifestou até o momento.
Entre os fundos roubados no ataque estava os do Fei Protocol, que desenvolve a Fei USD, uma stablecoin descentralizada com lastro ao dólar. A moeda estável, contudo, não registrou nenhum impacto negativo em seu preço, segundo dados do CoinMarketCap.
Longarzo informou ainda que o projeto começou a revisar uma possível correção para a vulnerabilidade e colaborou com engenheiros de segurança da Compound.
Nova leva de ataques
O mês de abril registrou ataques de menores proporções do que em março, mas nem por isso menos impactantes. Dois ataques foram a protocolos de NFT, enquanto um deles ocorreu ao protocolo de DeFi Deus Finance.
No caso do Deus, o hacker utilizou um empréstimo instantâneo (“flash loan”) para roubar tokens do protocolo. A perda total foi de cerca de US$ 13,4 milhões, ou R$ 66,8 milhões na cotação em reais.
Em seguida foi a vez do ataque aos Bored Ape Yatch Club (BAYC), que tiveram sua conta do Instagram invadida. Os hackers incluíram um link para um site phising no lugar do link do site oficial da venda dos Otherdeeds e conseguiram roubar mais de 90 NFTs.
Leia também: Ether mais escasso? Queima de tokens atinge máximas e inflação cai 50%
Leia também: Crypto.com corta recompensas de cartão e token CRO despenca
Leia também: Metaverso Bored Ape: Usuários chegam a pagar R$ 5.000 em taxas para comprar terrenos