O protocolo de empréstimos baseado em Ethereum, Inverse Finance, foi alvo de um ataque hacker nesta semana. A violação resultou em uma perda de US$ 15,6 milhões em criptomoedas. Ou seja, mais de R$ 72 milhões na cotação atual.
CONFIRA: Cotações das criptomoedas
A equipe por trás do protocolo confirmou o ataque em sua conta no Twitter no último sábado (2). Segundo a equipe, o ataque foi resultado de uma manipulação intensiva no preço do token INV:
This morning Inverse Finance's money market, Anchor, was subject to a capital-intensive manipulation of the INV/ETH price oracle on Sushiswap, resulting in a sharp rise in the price of INV which subsequently enabled the attacker to borrow $15.6 million in DOLA, ETH, WBTC, & YFI— Inverse+ (@InverseFinance) April 2, 2022
“Esta manhã, o mercado monetário da Inverse Finance, Anchor, foi sujeito a uma manipulação intensiva de capital do oráculo de preços INV/ETH no Sushiswap, resultando em um aumento acentuado no preço do INV, que posteriormente permitiu que o invasor tomasse US$ 15,6 milhões em DOLA, ETH , WBTC e YFI”.
Conforme é possível ver no gráfico do token nativo INV, em 2 de abril, o preço estava em torno de US$ 378. Minutos depois, houve um salto para cerca de US$ 570. Portanto, um “pump” de cerca de 50%. Em seguida, o preço do token despencou para US$ 271, uma queda de 52%.
Detalhes do ataque
De acordo com a empresa de segurança de blockchain, PeckShield, o invasor do Inverse Finance aproveitou uma vulnerabilidade em um oráculo de preços Keep3r que a empresa usava para rastrear os preços dos tokens.
A exploração permitiu que o hacker “falsificasse” o protocolo. Ele inflacionou os preços de INV e usou o ativo como garantia no mercado Anchor Protocol.
Ainda segundo o relatório da empresa sobre o caso, o hacker precisou “investir” para o ataque ser bem-sucedido. Mais precisamente, teve que depositar 901 ETH (mais de US$ 3,15 milhões) para realizar o ataque.
Os fundos vieram do misturador de criptomoedas, Tornado Cash, que normalmente é usado para movimentar criptomoedas sem deixar rastro.
Depois, o invasor teria injetado os fundos em vários pares de negociação na plataforma descentralizada SushiSwap (DeFi), inflando o preço do INV para o oráculo Keep3r. Além disso, o hacker também transferiu a maioria dos ativos roubados para o endereço do serviço.
No dia 3 de abril, a equipe apresentou um plano para lidar com as consequências do ataque e devolver os fundos afetados.
“Reiteramos nosso convite à (s) pessoa (s) por trás da manipulação de preços para entrar em contato e discutir uma generosa recompensa pela devolução dos fundos emprestados. Também estamos convidando membros da comunidade interessados em nos ajudar a identificar os responsáveis.”