0
0
Hackers conseguiram drenar US $ 25 milhões de duas carteiras de criptomoedas (bitcoin e ethereum) no último final de semana. Utilizando ataque de reentrada em contratos inteligentes eles conseguiam roubar criptomoedas de forma continua sem nenhuma dificuldade até que o status inicial da transação fosse alterado.
O ataque foi feito em uma plataforma de empréstimos descentralizada, a Lendf.me, que é usa dois protocolos de empréstimos suportados pela rede DeFi (finanças descentralizadas) DFORCE, e uniswap.
Quando um contrato inteligente é implantado na blockchain, ele nunca pode ser alterado novamente. É por isso que eles são chamados de “imutáveis”.
Como funciona o ataque de reentrada
Um ataque de reentrada ocorre quando uma função faz uma chamada externa para outro contrato não confiável antes de resolver quaisquer condições. Se o invasor puder controlar o contrato não confiável, ele poderá fazer uma chamada recursiva de volta à função original, repetindo interações que, de outra forma, não seriam executadas após a resolução dos efeitos.
Assim, ele consegue executar um contrato, e logo, sacar fundos de forma repetitiva.
Os hackers atacaram primeiro a Uniswap no sábado, explorando uma vulnerabilidade inerente no protocolo combinada com o padrão de token ERC777.
Depois, no domingo, os hackers realizaram o mesmo ataque na Lendf.Me, e assim conseguiram um “empréstimo” grande na plataforma”.
A DeFi Pulse informou que a Lendf.me foi atacada no início da manhã de domingo. 99% de seus ativos em ethereum e bitcoin foram roubados.
Os desenvolvedores do protocolo DeFi sugerem que a vulnerabilidade pode ter sido causada porque o imBTC deve ser ancorado em uma taxa individual contra o padrão ERC777, o que significa que um token ethereum pode ter sido atrelado ao Bitcoin.
É possível que a combinação do contrato de tokens Lendf.Me/Uniswap e ERC777 tenha permitido ao invasor lançar os ataques de reentrada.
Essas são meras especulações, já que a dForce ainda não divulgou uma declaração oficial sobre o incidente ou o que poderia ter dado errado. O site oficial da Lendf.me exibiu a mensagem “Não deposite mais!” antes de ficar offline.
Empresa fornece dados do hacker para a polícia
A única declaração oficial divulgada até agora foi publicada no canal Telegram e no blog Medium da Lendf.me, em que o CEO da fundação, Mindao Yang, declarou que os usuários não devem depositar fundos na Lendf.me e que a empresa está investigando o problema.
Também não está claro se o invasor roubou fundos da empresa e dos usuários, mas foi confirmado que as carteiras armazenavam mais de US $ 25 milhões, ou, R$ 132 milhões.
Yang alega ter entrado em contato com as autoridades para investigar o assunto e a empresa também respondeu ao contato dos hackers.
“Os hackers tentaram entrar em contato conosco e pretendemos entrar em discussões com eles”,
“Estamos fazendo tudo ao nosso alcance para conter a situação.
contatamos corretoras para rastrear e colocar na lista negra os endereços dos hackers e envolvemos nossas equipes jurídicas.”
O IP do hacker foi exposto e a empresa informou para as autoridades, isso fez o hacker devolver os fundos.
Hackers devolvem todos os fundos roubados
O roubo dos US $ 25 milhões teve uma reviravolta, os hackers devolveram todos os fundos roubados – o valor de cerca de R$ 132 milhões foram enviados de voltada para a plataforma.
Conforme publicado pelo The Block, ontem, o hacker devolveu 2,79 milhões de dólares à dForce e hoje o restante da quantia, quase 24 milhões de dólares, foi devolvido, de acordo com dados da Etherscan analisados pela The Block Research.
Um pouco menos do que o valor dos fundos roubados porque o explorador converteu alguns deles e eles perderam algum valor:
O CEO da 1inch.exchange, Sergej Kunz, disse ao site que o hacker devolveu todos os fundos porque seu endereço IP foi informado para a polícia de Cingapura.
“Recebemos um pedido da polícia e estávamos ajudando a dForce. Com base no pedido, entregamos à polícia os endereços IP e as meta informações sensíveis”, disse Kunz ao The Block.
O The Block descobriu que uma das empresas envolvidas se recusou a ajudar a dForce com as informações do hacker, porque eles disseram que sendo uma empresa francesa seguem as leis do GDPR (Regulamento Geral de Proteção de Dados). Mas isso não é verdade, disse uma pessoa familiarizada com o assunto ao site.
“Eles não têm nenhuma informação de contato no site, o que é necessário e pode causar uma punição de € 200.000. Além disso, eles coletam endereços de e-mail do usuário para o sistema de notificação se o preço mudar e também os endereços IP e não possuem qualquer política na página da Web “, disse a pessoa ao The Block.
FONTE: LIVECOINS