O protocolo de finanças descentralizadas da China (DeFi) dForce foi vítima de uma exploração bem conhecida de um token Ethereum, que levou a US $ 25 milhões em roubo de criptomoeda de seus clientes .
Conforme relatado pelo Decrypt , o DForce anunciou recentemente que havia garantido US $ 1,5 milhão em uma rodada de financiamento inicial liderada pelo fundo de capital de risco cripto Multicoin Capital. No entanto, esses fundos foram drenados dos contratos de um protocolo de empréstimo que faz parte do dForce chamado Lendf.Me.
O Lendf.Me agora está offline e todos os seus contratos inteligentes foram pausados. No entanto, os hackers devolveram US $ 126.014 dos fundos roubados de volta à plataforma de empréstimos com uma nota, que dizia “Melhor sorte na próxima vez”.
Vulnerabilidade no token ERC777 no dForce
Um ataque semelhante foi lançado recentemente contra a bolsa descentralizada Uniswap para roubar mais de US $ 300.000. Os contratos inteligentes da bolsa que continham uma versão tokenizada do Etcoum do Bitcoin executada pelo TokenIon chamada imBTC foram drenados. A conexão entre os dois ataques lida com o fato de o Lendf.ME ter integrado o imBTC no início deste ano.
O ataque do Uniswap alavancou uma vulnerabilidade conhecida no padrão de token ERC77. Como resultado da forma como os contratos inteligentes da Uniswap são estabelecidos, um hacker pode retirar continuamente os fundos do ERC77 da Uniswap antes da atualização do saldo, o que pode permitir que eles drenem os contratos do imBTC.
Embora o dForce hack seja totalmente separado do Uniswap, acredita-se que a mesma exploração tenha sido usada nos dois ataques. A vulnerabilidade não é nova e a empresa ConsenSys realizou uma extensa auditoria da Uniswap há 16 meses, concluindo que era uma questão “importante”.
Para piorar a situação, o CEO da Compound, Robert Leshner, afirma que o Lendf.Me havia se apropriado de seu código-fonte aberto. Em um tweet , Leshner chamou a segurança do Lendf.Me, dizendo: “Se um projeto não tem a experiência necessária para desenvolver seus próprios contratos inteligentes e, em vez disso, rouba e reimplementa o código protegido por direitos autorais de outra pessoa, é um sinal de que eles não têm a capacidade ou intenção de considerar a segurança “.
A partir de agora, o dForce não discutiu o hack em seus canais de mídia social e parece que o restante dos fundos roubados não será devolvido tão cedo.
Saiba mais em nosso setor de segurança digital.