A QuickSwap, exchange de finanças descentralizadas (DeFi) baseada na blockchain Polygon, fechou seus serviços de empréstimo para usuários. De acordo com a plataforma, o fechamento ocorreu após um ataque atingir a QuickSwap.
Neste ataque, o hacker fez a exploração de um empréstimo-relâmpago (flash loan). Como resultado, o invasor roubou mais de US$ 220 mil em tokens, ou cerca de R$ 1,3 milhão. O ataque ocorreu na segunda-feira, conforme divulgado pela QuickSwap no Twitter.
Manipulação de preços
Um flash loan não consiste num roubo em si, mas sim na manipulação dos preços de um token ou vários tokens. Com essa manipulação, hackers conseguem drenar liquidez e retirar fundos de plataformas DeFi.
De acordo com os dados da blockchain, os invasores manipularam os preços dos tokens emprestando fundos usando um flash loan. Em seguida, ele utilizou os valores inflacionados como garantia para drenar toda a liquidez do pool da QuickSwap.
Segundo a equipe do protocolo, o hacker conseguiu roubar pelo menos quatro tokens, incluindo MATIC, LDO e MATIC colocados em staking. Depois, o hacker utilizou o mixer de transações Tornado Cash para ocultar a origem dos fundos roubados.
Quando descobriu o ataque, a equipe da QuickSwap fechou o seu serviço de empréstimos e alertou os usuários. De acordo com a plataforma, nenhum usuário perdeu seus fundos.
“O QuickSwap Lend está fechando. Hackers retiraram US$ 220 mil em um ataque de empréstimos em flash devido a uma vulnerabilidade no Curve Oracle (NYSE:ORCL)", disse a equipe.
Flash loan e seus riscos
Flash loans são fornecidos por algumas redes DeFi e não exigem que o mutuário deposite garantias, desde que o empréstimo seja pago na mesma transação.
Por não demandarem garantias, qualquer pessoa com conhecimento técnico pode executar um flash loan sem precisar investir muito. Logo, este tipo de ataque é muito utilizado por hackers que desejam roubar liquidez de protocolos DeFi sem ter que arcar com altos custos.
A princípio, a QuickSwap disse que a vulnerabilidade ocorreu com a plataforma Market XYZ, que disse usar oráculos defeituosos do protocolo Curve e do emissor de stablecoin QiDao. Oráculos são serviços que buscam dados de fontes externas para alimentar qualquer rede blockchain.
QiDao disse que a exploração não estava relacionada a seus contratos inteligentes. Por outro lado, a Curve não comentou sobre o caso.
A QuickSwap disse que publicaria uma atualização sobre o exploit ainda na segunda-feira. No entanto, o Twitter do protocolo não tinha nenhuma informação adicional havia sido divulgada até o fechamento desta matéria na terça-feira (25).
O ataque é o mais recente de uma lista crescente de ataques ocorridos em outubro. Conforme noticiou o CriptoFácil, este mês já é o pior mês para ataques de criptomoedas.
Por CriptoFácil