A comunidade de criptomoedas foi abalada por dois ataques de finanças descentralizadas (DeFi) no blockchain da Avalanche (AVAX) ontem (17). Os protocolos afetados foram Dexible e Platypus, que perderam respectivamente US$1.5 milhão e US$8.5 milhões devido a vulnerabilidades em suas bases de código.
O ataque ao Dexible foi causado como resultado de uma vulnerabilidade em seu contrato de troca de roteador, que permitiu que o invasor roubasse fundos de qualquer carteira que tivesse uma aprovação de gastos não gastos (unspent spend approval) no contrato.
Em suma, essa é uma permissão concedida por um usuário a um contrato inteligente para gastar uma determinada quantidade de tokens em seu nome. Quando essa permissão é concedida, ela é registrada no blockchain e pode ser usada pelo contrato inteligente a qualquer momento para realizar uma transação.
No caso do ataque mencionado, o hacker foi capaz de se aproveitar de uma vulnerabilidade no contrato inteligente de um protocolo DeFi para gastar esses fundos não gastos de carteiras que tinham essa permissão registrada.
Já o hacker ao Platypus foi um caso de empréstimo rápido, onde a stablecoin USP do projeto caiu abaixo de US$0.5.
Medidas foram tomadas
Felizmente, os pesquisadores on-chain conseguiram encontrar pelo menos um dos hackers envolvidos nos ataques. A equipe de DeFi está trabalhando em um plano de recuperação, que inclui a pausa de todos os contratos envolvidos. Além disso, o grupo de trabalho convidou todos os usuários a migrar para uma nova versão do contrato inteligente.
A equipe de Platypus também está colaborando com a Tether Limited para congelar os fundos da conta USDT do invasor. ZachXBT, um experiente pesquisador de criptomoedas, está auxiliando a corporação na recuperação dos fundos e alegou ter descoberto a conta do Twitter do atacante, que pode estar usando o domínio retlqw.eth ENS.
Logo após a declaração de ZachXBT, o invasor desativou suas contas nas redes sociais. No entanto, o pesquisador conseguiu oferecer a ele uma recompensa por bug em nome da equipe Platypus. Para mais, conversas estão acontecendo com a Binance e a Circle para bloquear o restante do saque dos atacantes.
É importante ressaltar que, apesar desses ataques, a blockchain Avalanche continua sendo uma plataforma confiável para finanças descentralizadas, pois o hacker aconteceu em contratos inteligentes e não na rede da AVAX.