O BurgerSwap, um projeto de finanças descentralizadas (DeFi) baseado na rede da Binance, perdeu US$ 7,2 milhões em criptomoedas após sofrer uma exploração nesta madrugada de sexta-feira (28).
Conforme os desenvolvedores explicaram no Twitter, o hacker responsável pelo ataque criou uma criptomoeda falsa (um token BEP-20 não padrão) para explorar uma falha no código do protocolo e roubar a quantia milionária.
O ataque teve início através de um empréstimo-relâmpago (flash loan), no qual o invasor emprestou US$ 2 milhões de WBNB da PancakeSwap, convertidos em seguida em BURGER — o token nativo do projeto.
As criptomoedas falsas foram usadas para formar um novo par de negociação com o BURGER e, posteriormente, foram transformadas em WBNB através de uma transação que não deveria ser permitida pelo protocolo. Essa falha permitiu que o hacker ganhasse quantidades extras de WBNB no processo de troca.
Desse modo, o invasor realizou vários empréstimos e, depois de pagá-los, ficou em posse das criptomoedas extras geradas através da exploração. Os US$ 7,2 milhões de tokens que ele conseguiu roubar estão sendo vendidos e dispersados na blockchain do Ethereum através do protocolo Nerve, conforme apontou o analista Igor Igamberdiev.
Falha poderia ter sido evitada
BurgerSwap é uma exchange descentralizada (DEX) que ficou popular por permitir que usuários troquem tokens baseados no Ethereum (ERC-20) com os da rede da Binance (BEP-20). O protocolo também oferece rendimentos aos usuários que participam do seu pool de liquidez.
O projeto surgiu assim que a Binance Smart Chain foi criada em setembro de 2020 e, da mesma forma que muitos outros protocolos DeFi, usou a estrutura da UniSwap como base.
Segundo o criador do UniSwap, Hayden Adams, o BurgerSwap copiou todo o código do seu protocolo, deixando de fora justamente a linha de código que impediria o ataque de hoje de acontecer.
“O fork do Uniswap v2 removeu a única linha que impõe x*y=k no código. Portanto, o projeto poderia ser explorado de maneira muito trivial. Eu me pergunto por que eles fizeram isso”, escreveu.
O comentário acendeu a suspeita na comunidade de que o caso teria sido um golpe articulado pelos próprios desenvolvedores. “Eu me pergunto quantos ‘hacks’ de DeFi realmente são trabalhos internos”, disse o usuário @RichardHeartWin.
Até o momento, o BurgerSwap não deu mais detalhes sobre o caso além de uma thread no Twitter, mas afirma que a equipe está trabalhando em um plano de compensação.
O projeto também interrompeu os seus serviços de swap para resolver o problema no código. Desde que o ataque foi divulgado, a criptomoeda BURGER desvalorizou 23% e agora é negociada a US$ 6,34 segundo o CoinMarketCap.
Esse já é o quarto hack que um projeto DeFi da Binance Smart Chain sofre em menos de uma semana e aumenta o prejuízo de R$ 500 milhões que o setor já registrava na metade do mês.