A plataforma de arrecadação de fundos DAO Maker foi explorada nesta quinta-feira (12). Um invasor drenou mais de US$ 7 milhões, equivalentes a R$ 36,5 milhões, de milhares de contas de usuário.
A empresa confirmou a violação em um comunicado. Segundo Christoph Zaknun, CEO do DAO Maker, o cibercriminoso conseguiu roubar 10.000 USDC. Em seguida, realizou 15 transações silenciosamente.
“Lamentavelmente, devemos anunciar que nas primeiras horas de 12 de agosto o DAO Maker enfrentou o uso malicioso de uma de nossas carteiras com acesso a privilégios de administrador”, disse Zaknun.
Após a invasão, a equipe de segurança conseguiu rastrear e interromper o roubo dos fundos. Contudo, quando isso aconteceu, 5.251 usuários já tinham sido afetados. Em média, cada um perdeu US$ 1.250.
Já os usuários que detinham até US$ 900, não tiveram seus fundos violados.
DAO Maker confirma hack de US$ 7 milhões
Ainda de acordo com o comunicado, a equipe transferiu os fundos não afetados para uma carteira segura totalmente nova. Enquanto isso, os usuários ainda podem sacar seus fundos sem impedimentos, caso desejem.
A Cipher Blade, empresa líder em perícia forense de blockchain, foi contratada pelo DAO Maker. Agora, a organização está trabalhando para rastrear o criminoso e devolver os fundos roubados.
Segundo Zaknun, a Cipher Blade já identificou uma conta Binance envolvida no hack. Além disso, os especialistas estão colaborando de perto com Etherscan para aprender mais sobre o paradeiro dos hackers.
Ademais, o DAO Maker informou que todas as exchanges já foram notificadas sobre o endereço da carteira dos hackers.
Sobre a segurança dos cofres, Zaknun afirmou que os Vaults estão seguros e o hack não teve nenhum impacto prejudicial aos negócios.
“Absolutamente ninguém, nem mesmo nós, tem a capacidade de atualizar o código ou remover qualquer DAO dos Vaults. Como CEO, este sempre foi um dos meus princípios básicos para o DAO Maker.”
Por fim, o executivo declarou que o DAO Maker irá conceber um conjunto de soluções para aliviar os danos. Da mesma forma, a equipe pretende trabalhar para levar o hacker à justiça por meio de uma investigação forense.
Analistas apontam possível negligência
O DAO Maker realiza arrecadação de fundos para novos projetos de criptomoedas no Ethereum. Antes das vendas coletivas, a plataforma exige que os usuários tenham em suas carteiras tokens USDC. Assim que a alocação é feita, o USDC é automaticamente deduzido da conta.
Analistas disseram que o hacker conseguiu acessar as funções de retirada porque o contrato não tinha verificações de segurança adequadas. Os especialistas também afirmaram que o contrato explorado não foi verificado no Etherscan, o que, geralmente, sugere que a equipe foi negligente em seu trabalho.
Após a invasão à plataforma, o token nativo, o DAO, despencou 10% e, atualmente, está sendo negociado em US$ 1,73.
Ataque à Poly Network
O ataque ao DAO Maker vem logo após um hack de US$ 600 milhões da plataforma de DeFi Poly Network. Trata-se do maior hack de criptomoeda até hoje.
Conforme noticiado pelo CriptoFácil, a violação ao protocolo ocorreu na terça-feira (10). No entanto, em uma reviravolta, o invasor começou a devolver os fundos roubados. Ele disse que o motivo da invasão era apenas para divertimento.
Até a manhã desta quinta-feira (12), cerca de US$ 342 milhões em fundos já tinham sido devolvidos.