A bolsa descentralizada BurgerSwap sofreu uma violação de segurança nesta sexta-feira (28) e teve mais de US$7 milhões roubados por meio de um ataque de empréstimo rápido (flash loan).
US$7,2 milhões drenados do BurgerSwap
Lançado no início deste ano, a BurgerSwap é um projeto DeFi que permite aos usuários trocar tokens emitidos no BSC e ganhar recompensas por fornecer liquidez. No início de hoje, o protocolo foi ao Twitter para destacar a violação de segurança de seu sistema.
Tudo aconteceu em 28 de maio, e os criminosos escolheram uma forma bastante comum e notória de explorar o protocolo – por meio de um ataque rápido por empréstimo. Eles conseguem drenar US$7,2 milhões da BurgerSwap por meio de 14 transações.
Eles criaram sua própria Moeda Falsa e formaram um novo par comercial com o BURGER – o token criptográfico nativo do BurgerSwap. Mais tarde, os criminosos ajustaram o roteamento para – BURGER -> Fake Coin -> Wrapped BNB.
Eles usaram o par de negociação BURGER/Fake Coin para entrar novamente no BurgerSwap por meio do Fake Coin. A partir daí manipularam o número de reserva0 e reserva1 no contrato, causando uma mudança significativa de preço.
Assim, ao entrar novamente na transação e negociar de volta para o WBNB, os hackers conseguiram obter a quantidade extra de WBNB inserida. Como tal, eles trocaram por flash 6.000 WBNB (US$2 milhões) do PancakeSwap e depois quase todo o WBNB por 92.000 BURGER no BurgerSwap.
No final das contas, eles roubaram 4.400 WBNB (US$ 1,6 milhões no momento da transação), 22.000 BUSD, 2,5 ETH (US$ 6.800), 432.000 BURGER (US$3,2 milhões), 142.000 xBURGER (US$1M) e 95.000 ROCKS.
O projeto DeFi suspendeu todos os seus serviços a partir de agora e terá “certamente que trabalhar duro para que a perda dos usuários seja coberta.”
Não é o primeiro
O rápido crescimento do BSC desde o início chamou a atenção de malfeitores. Por isso, o número de protocolos atacados usando a rede aumentou exponencialmente nos últimos meses.
A Spartan também sofreu um ataque no início de maio e resultou na perda de mais de US$30 milhões dos fundos dos usuários.
Pouco antes disso, foi a vez do Uranium Finance. O criador de mercado automatizado que emprega o BSC viu cerca de US$50 milhões serem roubados de sua rede. Entretanto, deste, alguns sugeriram que poderia ter sido na verdade um puxão de tapete.
Preocupações semelhantes vieram da Meerkat Finance depois que US$30 milhões foram drenados do protocolo em março deste ano.
LEIA MAIS: SEC quer regulamentação de exchanges