Mais um protocolo de DeFi baseado na Binance Smart Chain (BSC) foi explorado. Dessa vez, o Impossible Finance sofreu um ataque de empréstimo relâmpago, ou flash loan, e perdeu US$ 500.000 em fundos de usuários. Como resultado, o token IF da plataforma derreteu mais de 76% em 24 horas.
Antes do ataque, o criptoativo estava sendo negociado a US$ 3,80. Agora, no momento da escrita desta matéria, o IF está custando US$ 0,70.
Sobre o ataque
De acordo com a empresa de segurança WatchPlug, o ataque flash loan ao pool de liquidez ocorreu por volta das 4h40 UTC desta segunda-feira (21) e o total perdido foi de 229,84 ETH.
Esse tipo de ataque consiste em uma exploração em que um hacker pega um empréstimo sem garantia de um protocolo e manipula o mercado a seu favor por meio de uma série de truques técnicos.
Neste caso, o hacker usou uma vulnerabilidade no contrato inteligente para realizar várias trocas do token IF para BUSD. Em seguida, trocou por BNB para pagar o empréstimo instantâneo.
“O hacker fez várias trocas consecutivas pelo mesmo preço e drenou o pool de liquidez, o que geralmente é impossível”, tuitou a WatchPlug.
Segundo Calvin Chu, desenvolvedor do Impossible Finance, o cenário do ataque não é “simples”. No Twitter, ele informou que sua equipe está trabalhando em uma solução para mitigar os problemas em andamento.
No Telegram, a equipe por trás do protocolo informou que está investigando a situação e divulgará um relatório detalhado. Ademais, garantiram que irão reembolsar os usuários lesados:
“Preparamos um fundo de seguro para garantir que seus fundos estejam seguros e continuem sendo nossa prioridade. Todos os fundos de usuários que depositaram em pools de liquidez ANTES do ataque serão 100% compensados.”
Além disso, eles recomendaram que os usuários não adicionem liquidez ao projeto até o problema ser solucionado.
Ataques flash loan
Conforme explicou Mudit Gupta, desenvolvedor do SushiSwap, a violação em questão é a mesma que afetou diversos protocolos neste ano.
Um caso recente de flash loan ocorreu com o protocolo Belt Finance, uma exchange descentralizada que opera na BSC. No fim de maio, a DEX sofreu um rombo de R$ 32 milhões.
Antes disso, as redes BurgerSwap (BURGER) e JulSwap (JULD) foram vítimas do mesmo ataque. Ao todo, os protocolos tiveram um prejuízo estimado em R$ 35 milhões.
Outro projeto a sofrer um flash loan foi o PancakeBunny. Em 19 de maio, um invasor obteve cerca de R$ 1 bilhão com o ataque, causando uma queda de 95% no preço do token BUNNY.