O protocolo Li Finance (LiFi) sofreu um ataque através da exploração de seu contrato inteligente. Realizado em 20 de março, o ataque levou à perda de cerca de US$ 600 mil (R$ 3 milhões). Cerca de 29 usuários tiveram suas carteiras afetadas pelo ataque.
CONFIRA: Cotações das criptomoedas
Segundo o perfil oficial do LiFi no Twitter, o ataque ocorreu às 2h51 da manhã do dia 20 de março. Como o LiFi atua com empréstimos, o hacker conseguiu realizar “aprovações infinitas” de acesso. Dessa forma, ele conseguiu roubar quantias variadas de dez tokens diferentes:
- USD Coin (USDC);
- Polygon (MATIC);
- Rocket Pool (RPL);
- Gnosis (GNO);
- Tether (USDT);
- Metaverse Index (MVI);
- Audius (AUDIO);
- Aave (AAVE);
- Jarvis Reward Token (JRT);
- DAI (DAI).
Apenas 12 horas depois, às 14h15, foi que a equipe do LiFi descobriu o ataque. Todas as funções de negociação foram desligadas, visando evitar maiores perdas. No entanto, o hacker já tinha se apoderado dos dez tokens citados acima.
Hacker converteu tokens em ETH
Depois que os danos foram avaliados, a equipe do LiFi emitiu um comunicado às 2h50 da segunda-feira (21). Na explicação, a equipe confirmou o roubo dos US$ 600 mil nos dez tokens. Em seguida, segundo o comunicado, o invasor trocou todos os tokens por Ether (ETH).
Adicionalmente, a equipe também divulgou o endereço do invasor na rede Ethereum. De acordo com o Etherscan, a carteira contém cerca de 205 ETH. Ou seja, os fundos roubados não foram movidos até o momento da escrita deste texto.
Das 29 carteiras que foram atingidas neste ataque, 25 foram reembolsadas pelo LiFi. Contudo, as 25 carteiras tinham apenas US$ 80 mil (R$ 400 mil em valores atuais), 13% do valor roubado. Os donos das quatro carteiras restantes, que perderam R$ 2,4 milhões, foram contatados e receberam um acordo para compensá-los, honrando suas perdas como investidores-anjo no protocolo.
Nesse sentido, os usuários receberão tokens LiFi nos mesmos termos que outros investidores anjos em um valor igual às perdas de cada carteira. Isso também ajudaria a mitigar os danos ao tesouro da plataforma.
O hacker também foi contatado e recebeu uma recompensa para devolver os fundos. Ele não respondeu os pedidos do LiFi até o momento da escrita deste texto.
Timing ruim O ataque parece ter vindo em um momento infeliz, de acordo com o CEO da Li Finance. Philipp Zentner disse que o protocolo finalizou o seu processo de auditoria recentemente. O resultado final sairia na próxima semana.
“Estamos literalmente a uma semana de nossa auditoria. Temos várias empresas nos auditando”, disse Zentner.
Será que a auditoria deixou passar um erro que causou este ataque? Não, de acordo com o pesquisador “Transmissions11” da empresa de investimento em criptomoedas Paradigm. Ele disse que o erro ocorrido no Li Finance é tão sutil que só poderia ser encontrado por quem estivesse procurando especificamente aquele problema.
Nesse sentido, o erro mostrou os riscos do mecanismo de aprovação ilimitada que é utilizado pelo Li Finance. Ele permite que os usuários troquem moedas em uma exchange descentralizada (DEX) um número ilimitado de vezes.
As transações subsequentes não precisam ser aprovadas, o que fornece mais rapidez e praticidade nas negociações. Em contrapartida, o usuário fica mais vulnerável a ataques como o que ocorreu no final de semana.