No mesmo dia do ataque hacker ao protocolo DeFi Deus Finance, outras duas plataformas de finanças descentralizadas (DeFi) foram alvo de invasores.
Os protocolos Agave e Hundred Finance foram explorados em um novo caso de ataque de “reentrada”. A violação resultou na perda de aproximadamente US$ 11 milhões. Ou seja, cerca de R$ 56,6 milhões na cotação em reais.
As criptomoedas roubadas foram: Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis e Wrapped XDAI em ambos os protocolos.
CONFIRA: Cotações das criptomoedas
A equipe Hundred Finance, fork do protocolo Compound, confirmou os ataques em sua conta no Twitter na terça-feira (15):
Unfortunately Hundred and Agave have both been exploited on Gnosis chain today. Gnosis team is aware, investigation is ongoing.All the Hundred markets on all chains paused for now.
These are the two transactions:
Hundred https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4
— Hundred Finance (@HundredFinance) March 15, 2022
“Infelizmente Hundred e Agave foram explorados na cadeia de Gnosis hoje. A equipe da Gnosis está ciente, a investigação está em andamento. Todos os cem mercados de todas as cadeias pararam por enquanto.”
A equipe Agave – bifurcação da plataforma de empréstimos DeFi Aave – também informou a comunidade via Twitter:
“Agave está atualmente investigando uma exploração no protocolo financeiro de Agave. Atualizaremos você assim que soubermos mais”, tuitaram. “Os contratos foram pausados até descobrirmos como resolver a situação.”
Após o anúncio da exploração, o token AGAVE caiu de US$ 57,47 para US$ 52,98, uma queda de cerca de 8%.
Enquanto isso, o token do protocolo Hundred Finances, o HND, caiu de US$ 0,60 para US$ 0,55. Portanto, uma queda de pouco mais de 8,5%.
Detalhes dos hacks
De acordo com dados do Tenderly, nos dois casos o hacker explorou um bug de reentrada, que consiste em uma vulnerabilidade na linguagem de programação.
Essa falha permite que uma entidade mal-intencionada viole o contrato inteligente de um protocolo para fazer uma chamada externa para um contrato não confiável para drenar seus fundos.
Em outras palavras, a vulnerabilidade permite que o invasor continue emprestando criptomoedas antes que os aplicativos possam calcular a dívida e impedir novos empréstimos.
O endereço associado ao invasor enviou mais de 2.100 ETH, no valor de mais de US$ 5,5 milhões, para um misturador de criptoativos para lavar os tokens roubados.
Como mencionado, os ataques em questão marcam três explorações praticamente seguidas no mesmo dia.
Conforme noticiado pelo CriptoFácil, o protocolo Deus Finance perdeu mais de US$ 3 milhões em Dai (DAI) e Ether (ETH) no ataque.