CriptoFácil - O protocolo de finanças descentralizadas (DeFi) EraLend foi alvo um ataque de reentrância que possibilitou o roubo de US$ 3,4 milhões em criptomoedas. De acordo com as informações, o ataque afetou os contratos inteligentes do EraLend, permitindo o saque os fundos
Um ataque de reentrância é um tipo de ataque cibernético que afeta contratos inteligentes. Este tipo de ataque é uma das explorações mais comuns contra os protocolos DeFi. Como ele atinge diretamente o contrato, o invasor obtém controle praticamente ilimitado das criptomoedas
A reentrância consiste na identificação de uma vulnerabilidade de segurança no código de um contrato inteligente. Usando essa vulnerabilidade, o invasor chama repetidamente uma função dentro do contrato antes da conclusão de uma chamada de função anterior.
Quando executadas de uma maneira específica e ao mesmo tempo, essas chamadas de função podem manipular o preço dos tokens dentro do contrato inteligente. Ou seja, permite que o invasor retire muito mais recursos do protocolo do que poderia em circunstâncias normais.
Falta de oráculos
O EraLend é um protocolo de empréstimo descentralizado zkSync. De acordo com seu próprio site, o protocolo se identifica como de “baixo risco” – o que não se mostra verdade após o ataque.
Seu nome anterior é Nexon Finance e o protocolo evitou o uso de oráculos, alegando justamente que essa medida diminuiria os riscos. “Nossa plataforma de empréstimo é menos arriscada porque não depende de oráculo e liquidação (liquidez externa)”, afirmava a equipe.
Infelizmente, os usuários acabaram pagando pela falha de segurança do EraLend. O protocolo, que é o maior da rede zkSync, perdeu esses fundos no ataque. Mas os usuários ainda sacaram mais de US$ 5 milhões logo após a descoberta do ataque, o que fez o EraLend perder ainda mais recursos.
Conforme informações, o hacker mirou o estoque da stablecoin USDC na plataforma, que respondeu pela maioria dos roubos. Em seguida, a equipe do protocolo DeFi suspendeu todas as operações de empréstimo. Além disso, os desenvolvedores aconselharam a comunidade a não depositar USDC na plataforma até a resolução do problema.
Riscos em DeFi
A fim de ajudar os desenvolvedores do EraLend a colocar sua plataforma de volta em ordem e descobrir a identidade da pessoa por trás do ataque várias empresas de segurança cibernética entraram em contato. A BlockSec confirmou que vai ajudar o protocolo DeFi a investigar a ação.
Outras empresas envolvidas no caso são a Spreek e Saul, que primeiro identificaram o ataque. As empresas agora se juntam para investigar se o hacker roubou mais do que os US$ 3,4 milhões.
“A causa aparentemente provável é a reentrada somente de leitura afetando o preço do token. Não tenho certeza sobre o tamanho do roubo, pode ser muito maior. Ainda tentando descobrir detalhes sobre este ataque”, disse a Spreek.
No ano passado, a quantidade total de valor roubado de investidores em criptomoedas quebrou a barreira de US$ 10 bilhões. Só que a lista levou em conta a soma de golpes de investimento, fraude total e outros esquemas maliciosos. O ataque de hoje serve como mais um lembrete para fazer sua própria pesquisa antes de investir seu dinheiro suado em qualquer plataforma.