A Euler Finance, plataforma de empréstimos em finanças descentralizadas (DeFi), foi vítima de um ataque milionário de flash loan (empréstimo relâmpago) no domingo, 12. De acordo com a empresa de segurança cibernética, BlockSec, inicialmente foi descoberto que o hacker roubou US$ 177,6 milhões em criptoativos da plataforma. Depois, em uma análise mais aprofundada a empresa localizou outras transações suspeitas que elevou o valor furtado para US$ 197 milhões.
Os fundos estavam distribuídos em vários tokens, incluindo US$ 8,75 milhões em DAI, US$ 18,5 milhões em WBTC, US$ 33,85 milhões em USDC e US$ 135,8 milhões em stETH.
A carteira Ethereum (ETH) do invasor usada para armazenar os fundos roubados está sendo rastreada, portanto, será um desafio para o criminoso movê-los e convertê-los. No entanto, a BlockSec relata que os operadores de ameaças já estão lavando os criptoativos por meio do misturador de criptomoedas sancionado Tornado Cash.
A startup por trás da Euler Finance, a Euler Labs, sediada no Reino Unido, compartilhou uma breve declaração no Twitter, dizendo que atualmente envolvida com profissionais de segurança e agências de aplicação da lei e divulgará mais informações quando estiver tudo pronto.
O ataque fez com que o valor do token Euler (EUL) caísse 44,2% durante a noite, passando de US$ 6,56 para US$ 3,37.
Os ataques de empréstimo flash exploram uma vulnerabilidade em um protocolo de empréstimo para obter uma grande quantia de dinheiro sem ter que devolver o valor ao serviço. Os cibercriminosos usam um exploit que lhes permite manipular o preço de um token ou ativo na plataforma durante os poucos segundos em que retêm o valor emprestado, então, quando a negociação é concluída, eles ficam com um lucro enorme.
Um ataque de flash loan semelhante teve como alvo a plataforma Beanstalk DeFi em abril do ano passado, quando os operadores de ameaças roubaram US$ 182 milhões em ativos.
Veja isso
Golpista cria deepfake de diretor de exchange de criptomoedas
CER aponta segurança de 1.500 criptomoedas e 305 exchanges
A empresa de análise e segurança Blockchain PeckShield informou que o hack de Euler foi possível devido à lógica falha em seu sistema de doação e liquidação. Mais especificamente, a função “donateToReserves” não verificou se o invasor estava doando uma quantia com garantia excessiva e o sistema de liquidação não verificou corretamente a taxa de conversão do empréstimo para o ativo colateral. Essas falhas permitiram que os invasores manipulassem a taxa de conversão para lucrar com o processo de liquidação.
A PeckShield diz que o ataque envolveu dois hackers, um mutuário e um liquidante, trabalhando em coordenação para executar as ações. Os hacks de DeFi têm aumentado nos últimos dois anos, com os hackers abandonando seus esforços para atacar as exchanges e mudando seu foco para a rápida exploração de falhas lógicas nos contratos inteligentes da plataforma de empréstimo de criptomoedas. Esses ataques são tão devastadores que podem inviabilizar da noite para o dia uma empresa saudável e próspera que já passou por várias auditorias de segurança.
