.
Poucos dias depois de lançar a segunda – e supostamente mais estável e segura – versão de seu aplicativo de finanças descentralizadas (DeFi), o Jimbos Protocol no fim de semana foi atingido por invasores que roubaram 4.090 tokens ETH do projeto no valor de cerca de US$ 7,5 milhões.
Os desenvolvedores por trás do aplicativo baseado em Arbitrum foram as vítimas aparentes de um ataque de empréstimo instantâneo e agora estão lutando para rastrear os codificadores de dedos leves e recuperar os fundos perdidos.
O negócio reconheceu o ataque de 28 de maio e inicialmente se ofereceu para deixar os atacantes ficarem com 10 por cento do saque se eles devolvessem os outros 90 por cento. No entanto, depois de não receberem resposta, eles agora estão recorrendo à polícia para encontrar os culpados e recuperar o dinheiro.
“Nas últimas 24 horas, trabalhamos com especialistas em segurança, pontes e trocas”, os desenvolvedores do Jimbos Protocol escreveu no Twitter. “Graças à ajuda deles, identificamos pistas promissoras, e uma em particular. Esperamos que o invasor coopere *voluntariamente* – antes que eles não tenham escolha a não ser passarmos suas informações.”
O ataque ocorreu três dias após o Jimbos Protocol lançar a segunda versão (V2) de seu software. De acordo com os desenvolvedores por trás dele, o protocolo – que foi lançado há cerca de um mês – foi projetado para abordar questões relacionadas à volatilidade e liquidez, com um preço mínimo semi-estável.
Vulnerável a um golpe de empréstimo rápido
No entanto, a empresa de análise de blockchain PeckShield disse em um twittar que o hack do Protocolo Jimbos “se deve à falta de controle de derrapagem da operação de transferência de liquidez”. O pool de liquidez de propriedade do protocolo “é investido em uma faixa de preço distorcida/desequilibrada, que é explorada em um swap reverso para obter lucro”.
O invasor conseguiu explorar o protocolo por meio de um empréstimo instantâneo, no qual um usuário pede emprestado uma grande quantia de dinheiro digital – como Ethereum – com a promessa de pagá-lo quase imediatamente. O truque aqui é fazer um empréstimo, usá-lo para comprar uma grande quantidade de outros tokens, aumentar o preço do token, vender os tokens a um preço alto e embolsar a diferença.
Nesse caso, os invasores pegaram emprestado 10.000 ETH em um empréstimo instantâneo, trocaram-no por um grande número de moedas Jimbo, elevando o preço e, por meio de algumas travessuras de contratos inteligentes, manipularam as operações do pool de liquidez do aplicativo, permitindo que eles converter a montanha de tokens Jimbo de volta em ETH, pagar o empréstimo e embolsar um grande lucro.
No mundo DeFi, a derrapagem é a diferença entre os preços reais e esperados, e controles podem ser implementados para mitigar muita volatilidade de preço durante a vida da transação. Isso seria útil para ajudar a evitar que os empréstimos rápidos aumentassem os preços, levando a situações vulneráveis. Parece que isso não foi feito corretamente no software V2.
Analistas com Numen Cyber Labs escreveu que depois de obter o empréstimo rápido, “o invasor trocou o ETH emprestado por uma quantia substancial de fundos do Jimbo por meio do [ETH-Jimbo] par de negociação, causando um aumento no preço atual do Jimbo. O invasor então transferiu 100 tokens JIMBO para o contrato JimboController.”
Os malfeitores então exploraram uma vulnerabilidade no contrato JimboController para manipular o pool de liquidez. Depois disso, eles converteram os tokens Jimbo de volta em ETH e pagaram o empréstimo rápido, mantendo os lucros.
Chamando reforços
Depois de reconhecer o ataque pela primeira vez, os desenvolvedores do Protocolo Jimbos disseram que estavam trabalhando com analistas que ajudaram vítimas de ataques semelhantes – incluindo Euler Finance e Sentiment, ambas plataformas DeFi – a recuperar parte do dinheiro perdido.
Em 29 de maio, o negócio se dirigiu aos invasores, dizendo-lhes para “manter um pagamento rápido de $ 800.000 e viver para contar a história. Não iremos persegui-lo se você devolver os 90%. não vai parar até que você esteja atrás das grades.”
Os analistas do Cyber Numan Labs observaram que “apesar dos esforços contínuos para fortalecer as medidas de segurança, o ecossistema DeFi continua lutando para se proteger contra possíveis vulnerabilidades e acesso não autorizado”.
Diante disso, os projetos DeFi precisam trabalhar em estreita colaboração com os auditores de segurança para fortalecer suas plataformas na esperança de dissuadir os malfeitores e reduzir as chances de perder dinheiro em um ataque. As perdas podem ser substanciais.
Plataformas DeFi vulneráveis
A Euler Finance foi atingida por um ataque de empréstimo rápido em março, perdendo quase US$ 200 milhões, embora o culpado tenha devolvido a maior parte. A Sentiment perdeu cerca de US$ 1 milhão em um ataque em abril, com o invasor devolvendo novamente a maior parte em poucos dias.
O protocolo de Jimbos obviamente esperava um resultado semelhante, embora isso ainda não tenha acontecido.
O crescente número de ataques a entidades DeFi não surpreende Karl Steinkamp, diretor de transformação e automação de entrega da consultoria de segurança cibernética Coalfire.
Steinkamp observou que existem mais de 25.000 criptoativos listados no CoinMarketCap, a maioria baseada no Ethereum.
“Vimos essa tendência de segmentar entidades DeFi explodir à medida que o mercado de tokens se expandiu”, disse ele Strong The One. “Muitos desses ativos digitais estão se movendo rapidamente, o que funciona bem para a inovação. No entanto, ao mesmo tempo, eles não estão realizando a devida diligência necessária e os devidos esforços de cuidado para garantir adequada e continuamente que sua plataforma e seus ativos estejam protegidos contra invasores mal-intencionados. .”
Falando sobre o Protocolo Jimbos e a exploração da falha de código para entregar liquidez, Steinkamp disse que “essa função básica nunca deveria ter sido executada se os proprietários do ativo tivessem executado esforços básicos de segurança e fortalecimento antes de liberá-lo no ambiente de produção .” ®
.
