Pouco mais de um mês após sofrer um ataque e perder cerca de R$ 15 milhões em DAI e Ether (ETH), o protocolo de finanças descentralizadas (DeFi) Deus Finance foi alvo de uma nova exploração ainda maior.
Nesta quinta-feira (28), o protocolo DeFi multi-cadeia sofreu uma exploração de flash loan, ou “empréstimo relâmpago”, que resultou em uma perda de US$ 13,4 milhões. Ou seja, mais de R$ 66,5 milhões na cotação atual.
Deus é um protocolo que permite que os desenvolvedores construam serviços financeiros. Isso inclui negociação de futuros e empréstimos.
O que é flash loan ou empréstimo relâmpago?
Empréstimos relâmpago são empréstimos que exigem que o valor emprestado seja devolvido na mesma transação. Isso só é possível com a tecnologia de contratos inteligentes.
Em um ataque de flash loan, o explorador geralmente utiliza manipulação para causar quedas ou altas no preço. Contudo, também é possível utilizar o mecanismo para desviar fundos de projetos.
Ataque ao protocolo Deus Finance
De acordo com a empresa de segurança em blockchain PeckShield, o explorador em questão fez um empréstimo relâmpago para manipular o oráculo de preços dentro de um pool de liquidez na rede Fantom.
Os oráculos são ferramentas baseadas em blockchain que fornecem contratos inteligentes com informações externas confiáveis. Eles são necessários porque as blockchains podem armazenar dados de forma imutável, mas não podem verificar se os dados de entrada são precisos.
A exploração envolveu o token DEI, que é emparelhado em 1:1 com a stablecoin USDC que, por sua vez, é pareada ao preço do dólar americano.
O invasor conseguiu manipular artificialmente o preço do DEI, fazendo-o subir muito. Em seguida, com o valor inflacionado, o explorador usou o token como garantia do empréstimo na transação e conseguiu drenar o pool.
Depois de lucrar cerca de US$ 13,4 milhões, o invasor transferiu os fundos de Fantom para o Ethereum onde os encaminhou através do protocolo Tornado Cash que é comumente usado para ofuscar as transações do Ethereum.
A equipe do protocolo confirmou a exploração em sua conta no Twitter, afirmando que nenhum usuário havia sido liquidado:
The dev team is working on the DEI situation.1. User funds are safe. No users were liquidated.
2. DEI lending has been temporarily halted.
3. $DEI peg has been restored.
More details to follow.
— DEUS Finance DAO (@DeusDao) April 28, 2022
“A equipe de desenvolvimento está trabalhando na situação do DEI.
Mais detalhes a seguir.”
- Os fundos do usuário são seguros. Nenhum usuário foi liquidado.
- Os empréstimos do DEI foram temporariamente suspensos.
- $DEI peg foi restaurado.
Impacto no preço do token nativo DEI
Logo após a exploração se tornar pública, o preço do token DEI caiu de US$ 1,0039 para US$ 0,95. Ou seja, uma queda de mais de 5% segundo o CoinMarketCap.
O token de governança do protocolo, o DEUS, também sofreu perdas, tendo recuado mais de 5,73% nas últimas 24 horas.
Segunda exploração
Como mencionado, a exploração desta quinta-feira foi a segunda em menos de dois meses no protocolo Deus Finance.
Conforme noticiado pelo CriptoFácil, no dia 15 de março o protocolo sofreu uma exploração em que perdeu US$ 3 milhões em Dai (DAI) e Ether (ETH).
O incidente aumentou o debate sobre empréstimos relâmpagos e o risco potencial que eles representam para os protocolos DeFi em geral.
