Mais de 20 milhões de usuários do protocolo de DeFi SafeMoon estão em risco. Isso porque uma auditoria recente encontrou 12 vulnerabilidades críticas no protocolo do projeto que possibilitam ao dono do protocolo fugir com o dinheiro.
De acordo com a empresa de segurança de blockchain HashEx, o padrão de tokens BEP-20 da Binance Smart Chain possui inúmeras falhas. Isso permite que hackers explorem essas falhas no SAFEMOON e outros tokens baseados neste padrão.
“SAFEMOON cresceu mais de 15.000% desde seu lançamento, seu valor de mercado ultrapassou US$ 6 bilhões e a liquidez é atualmente superior a US$ 200.000.000”, disse a HashEx. “Realizamos uma auditoria e descobrimos um total de 12 vulnerabilidades, 2 das quais críticas e 3 de alto risco.”
Vulnerabilidades expõem 2 milhões de usuários
As vulnerabilidades identificadas pela HashEx colocam os investimentos de milhões de usuários em risco. Segundo o relatório, pelo menos quatro vulnerabilidades funcionam de forma combinada. Assim, uma exploração sequencial poderia multiplicar os danos.
Com as vulnerabilidades, os hackers podem, por exemplo, bloquear temporariamente a transferências de tokens, tornar o contrato inteligente permanentemente inoperante, remover detentores do token da distribuição de comissões, entre outras coisas.
Além disso, existe a possibilidade de rug pull, que é quando a equipe por trás de um projeto liquida seus tokens e some com o dinheiro.
Conforme explicaram os pesquisadores, o proprietário do contrato inteligente SafeMoon é uma conta externa, controlada por uma pessoa específica.
Assim, caso o endereço do proprietário seja comprometido, um rug pull de mais de US$ 20.000.000 pode acontecer a qualquer momento.
“Por representar cerca de 15% de toda a liquidez mantida em pools de liquidez, a taxa de câmbio do SAFEMOON pode cair rapidamente.”
Conclusões e posicionamento da equipe SafeMoon
A partir do estudo, a HashEx concluiu que é importante que a comunidade esteja ciente dos riscos. Afinal, “a beleza da descentralização” está em certificar que o dinheiro dos usuários está seguro e que ninguém pode manipulá-lo.
Ao contatar a equipe da SafeMoon, a HashEx recebeu a seguinte declaração:
“Esses não são problemas que podemos atualizar com um contrato implantado sem um hard fork; fomos informados sobre isso pela Certik. (…) Internamente, temos políticas e procedimentos em torno de como o contrato opera para aliviar o risco de valores incorretos. No entanto, você nunca nos verá modificar taxas ou maxTx. Obrigado pela auditoria, manteremos suas descobertas em mente se/quando realizarmos um hard fork.”