Hacker explora brecha em protocolos, cunha stablecoins e rouba mais de US$ 11 milhões

Invasor usou vulnerabilidade para explorar versões mais antigas dos protocolos Aave e Yearn Finance e cunhar 1,2 quatrilhão de tokens e
Imagem da matéria: Hacker explora brecha em protocolos, cunha stablecoins e rouba mais de US$ 11 milhões

Foto: Shutterstock

O protocolo Aave versão 1 e uma outra versão mais antiga do protocolo Yearn Finance foram hackeados na madrugada desta quinta-feirab (13) em um esquema que gerou um lucro de US$ 11,2 milhões ao invasor, que se aproveitou de uma vulnerabilidade na stablecoin da Yearn, a yUSDT.

Segundo a empresa de segurança PeckShield, o hacker conseguiu cunhar mais de 1,2 quatrilhão de yUSDT, que foram usados para sacar pelos menos US$ 11,6 milhões em diversas stablecoins.

Publicidade

O Aave é um dos protocolos de empréstimo DeFi mais antigos, o qual permite que os usuários obtenham rendimento pelo depósito de várias criptomoedas. Já o Yearn Finance é outro popular protocolo DeFi que agrega várias oportunidades de rendimento de todo o mercado em uma única plataforma.

Já o token yUSDT é um token de acumulação de rendimento que rastreia o saldo  stablecoin USDT de um usuário, depositado em contratos Yearn.

“Foi configurado incorretamente para usar o token iUSDC da Fulcrum em vez do token iUSDT da Fulcrum”, segundo a análise do pesquisador da Paradigm, Samczsun. Fulcrum é uma plataforma DeFi que permite aos usuários emprestar ETH e outros tokens ERC-20.

It seems like the iearn USDT token (yUSDT) has been broken since deploy, which was *checks notes* over 1000 days ago. It was misconfigured to use the Fulcrum iUSDC token instead of the Fulcrum iUSDT token.https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1

— samczsun (@samczsun) April 13, 2023

O dano foi limitado, uma vez que apenas as versões mais antigas dos protocolos foram atacadas. O Aave v1 tinha cerca de US$ 20 milhões em depósitos totais no dia 12 de abril, um dia antes do hack, segundo dados do DeFiLlama.

Publicidade

Um desenvolvedor sênior da Yearn, Storm Blessed 0x, e o Aave confirmaram que apenas as versões antigas dos protocolos provavelmente foram atingidas, sem prejuízo para as versões mais recentes. A equipe do Aave também afirmou que congelou novos depósitos na v1 em dezembro de 2022.

We are aware of an issue that seems isolated to the iearn legacy protocol launched in 2020 and liquidity pool.

Yearn v2 vaults seem not to be impacted.

Yearn contributors are investigating.

Further comms to follow on main account. https://t.co/CKddWwjFj8

— Storm Blessed 0x 🇯🇵 (@storming0x) April 13, 2023

Marc Zeller, fundador da plataforma de governança do Aave, Aave-Chantweetou após o hack que o módulo de segurança do Aave tem cerca de US$ 382,5 milhões, o que supera em muito o total de depósitos no Aave V1.

Os usuários afetados provavelmente serão pagos com o módulo de segurança ou pelos fundos de seguro da Yearn, com base no que os dois líderes da comunidade concordarem.

Ataques como este se tornaram algo comum no setor DeFi.

Em março, a Euler Finance, outro protocolo de empréstimos, sofreu um ataque de quase US$ 200 milhões em diversas criptomoedas. Pouco depois, a Sushiswap, uma exchange descentralizada de cripto, foi hackeada em US$ 3,3 milhões.

Publicidade

A equipe da Euler conseguiu negociou o retorno da maioria dos fundos e a SushiSwap também conseguiu organizar um plano de recuperação para os usuários afetados.

*Traduzido por Gustavo Martins com autorização do Decrypt.