Empréstimos-relâmpago em invasões ao bZx levantam críticas sobre o setor DeFi
Protocolos de Finanças Descentralizadas (DeFi) estão aumentando de volume, pois cada vez mais fundos são bloqueados em contratos inteligentes.
Mas duas invasões recentes destacaram suas vulnerabilidades. Críticos do setor sugerem que esses protocolos não são tão descentralizados como aparentam ser.
bZx, o sétimo maior protocolo DeFi, com mais de US$ 18 milhões em fundos bloqueados, perdeu US$ 350 mil e US$ 645 mil em ether em duas invasões distintas nos últimos dias.
Os invasores, que podem ser considerados ou legítimos arbitradores ou hackers maliciosos, dependendo de sua perspectiva, usaram “empréstimos-relâmpago” para pegar fundos emprestados que, depois, foram canalizados através de uma rota sofisticada de diferentes protocolos e negociados de tal forma que bZx ficou sem fundos, forçando o suposto protocolo descentralizado a usar uma chave de restauração para reembolsar os fundos perdidos.
Duas invasões em cinco dias
Conforme Korantin Auguste, ex-engenheiro de software da Google, explicou em uma publicação, ambos os ataques se aproveitaram dos “empréstimos-relâmpagos” oferecidos por diversos protocolos DeFi de empréstimo.
Esses empréstimos permitem que negociadores peguem emprestadas grandes quantias de liquidez para uma única transação, sem ter que oferecer garantias, permitindo, assim, que negociadores lucrem rapidamente em diferenças de preço.
A primeira invasão com empréstimo-relâmpago foi realizada no dia 14 de fevereiro, durante a conferência ETHDenver, e envolveu uma série complexa de transações na plataforma de empréstimo Fulcrum, da bZx.
Conforme descrito na publicação oficial “post-mortem” da bZx, o invasor realizou um empréstimo-relâmpago da corretora dYdX de 10 mil ethers, dividiu os fundos, canalizando-os em diferentes protocolos e negociando-os um contra o outro para lucrar em 1.193 ethers, equivalentes a US$ 298 mil.
O segundo ataque, que aconteceu na terça-feira passada, 18, também usou um empréstimo-relâmpago para comprar uma posição subgarantida na bZx, mas por um método diferente. Isso resultou em uma perda estimada de 2.388 ether (US$ 645 mil).
Finanças Descentralizadas (DeFi) vs. Finanças Centralizadas (CeFi)
A própria invasão e a decisão da bZx em rapidamente desativar Fulcrum, usando uma chave mestra claramente não descentralizada, foram alvo de críticas.
This is why I don’t believe in DeFi. It’s the worst of both worlds. Most DeFi can be shut down by a centralized party, so it’s just decentralization theatre. And yet no one can undo a hack or exploit unless we add more centralization.
So how is this better than what we have now? https://t.co/F1HMSeqb6q
— Charlie Lee [LTC⚡] (@SatoshiLite) February 16, 2020
Charlie Lee, criador do Litecoin, chamou DeFi de “teatro de descentralização”, que representa “o pior dos dois mundos”: é pior do que plataformas centralizadas, porque são menos seguras e ainda estão vulneráveis a serem desativadas por uma parte centralizadora.
The bzx/compound/uniswap attack is super cool. The more of this that happens, the sooner the better. We want the bug bounties claimed before defi poses a systemic risk.
— Ari Paul ⛓️ (@AriDavidPaul) February 17, 2020
Outros, incluindo o investidor Ari David Paul, sugeriram que o incidente é apenas uma lombada na estrada em direção a um amadurecido ecossistema DeFi, e que expor as vulnerabilidades ainda no estágio inicial é algo saudável a longo prazo.
“Quando antes e quanto mais isso, melhor. Queremos que ‘hackers do bem’ encontrem essas vulnerabilidades antes que o setor DeFi apresente um risco sistêmico”, tuitou Paul.