Hacks ao setor DeFi já somam US$ 680 milhões roubados somente neste ano
O total de fundos já roubados em ataques ao setor de finanças descentralizadas (DeFi, na sigla em inglês) já somam US$ 680 milhões somente neste ano, segundo o gráfico abaixo, elaborado pelo The Block.
Dados coletados pelo The Block Research mostram que US$ 1,4 bilhão foi inicialmente roubado de protocolos DeFi, por meio de ataques exploratórios e erros (“bugs”), porém US$ 760 milhões foram devolvidos.
Ao longo de 2021, 64 dos maiores ataques a DeFi ocorreram em quatro grandes plataformas blockchain. A maioria dos ataques aconteceu na Ethereum – que foi atacada 34 vezes – seguida pela Binance Smart Chain, com 25 ataques. Além disso, três aconteceram na Polygon e dois, na Avalanche.
Em relação aos hacks, 34 deles usaram empréstimos instantâneos (“flash loans”). Nessa categoria, os fundos dos empréstimos são removidos da rede, usados para alguma função específica e, logo em seguida, devolvidos – tudo em um único bloco de transação.
Isso significa que o credor sabe que seu dinheiro será devolvido (ou este nunca foi emprestado, em primeiro lugar).
Como resultado, podem ser feitos empréstimos instantâneos de altíssimo valor, mas com baixo custo, o que possibilita aos hackers solicitar empréstimo de grandes quantidades de fundos, a fim de maximizar o dano desse tipo de ataque.
Por exemplo, o protocolo DeFi xToken sofreu um ataque em maio deste ano. O hacker usou um flash loan para emprestar 61,8 mil ethers (US$ 270 milhões), a fim de desestabilizar o sistema e roubar US$ 24,5 milhões. O grande volume do empréstimo instantâneo tornou o ataque mais rentável.
Três dos cinco maiores ataques foram na Poly Network, a qual perdeu US$ 611 milhões no total, antes de o montante ser totalmente devolvido.
Outras grandes perdas incluem a do protocolo Compound, no qual um erro, em setembro, levou à liberação de US$ 114 milhões em tokens COMP – do qual metade foi devolvido.
No mês passado, Cream Finance foi hackeada pela terceira vez no ano e perdeu mais de US$ 130 milhões, após o uso de um empréstimo instantâneo.
Como modo de contextualização, os dados apresentados não incluem “puxadas de tapete” (em que desenvolvedores do projeto arrecadam dinheiro e somem com o valor adquirido) e outros tipos de fraude cripto – somente focam em ataques a protocolos DeFi.