Invasor rouba US$ 24,5 milhões via empréstimos-relâmpago do protocolo xToken
O protocolo de finanças descentralizadas (DeFi) xToken sofreu uma invasão nesta quarta-feira (12), resultando na perda de US$ 24,5 milhões.
A entidade por trás do ataque utilizou empréstimos-relâmpago para roubar uma variedade de tokens e já vendeu grande parte dos tokens por ether (ETH).
xToken oferece oito tokens, como xSNXa e xBNTa, que fornecem exposição a rendimentos dos projetos DeFi Synthetix e Bancor.
Vêm na forma de tokens desenvolvidos na Ethereum que são lastreados (“wrapped”) em alguns tokens DeFi, como SNX e BNT. Fornecem os mesmos benefícios que o token original, como recompensas por staking, mas sem precisar sair do ecossistema Ethereum.
Empréstimos-relâmpago são empréstimos baseados em blockchain com os quais uma quantidade de criptomoedas é tomada emprestado e paga na mesma transação.
Podem ser utilizadas para obter acesso a grandes quantias de capital a uma taxa mais barata, pois as criptomoedas são pagas instantaneamente (e mesmo se a transação não for processada, é como se o dinheiro nunca tivesse sido tomado emprestado).
Empréstimos-relâmpago em invasões ao bZx
levantam críticas sobre o setor DeFi
Como a invasão aconteceu?
A invasão foi realizada por meio de dois ataques, ambos tendo tokens do ecossistema xToken como alvo.
Primeiro, a entidade responsável usou um empréstimo-relâmpago para tomar 61,8 mil ETH (S$ 270 milhões) emprestado.
Usaram esses ativos para manipular o oráculo da Kyber Network — que conecta seu blockchain a dados reais — para emitir muitos tokens xSNXa que, em seguida, foram vendidos por ETH e SNX.
Segundo, descobriram uma vulnerabilidade no contrato xBNTa. Por ser um “wrapped token”, esse token deveria ser emitido apenas usando tokens BNT. Porém, o contrato fracassou em checar isso. Então, conseguiram usar um token diferente para emitir esses tokens xBNTa, os quais foram vendidos.
Segundo Igor Igamberdiev, do The Block Research: “o invasor foi inteligente o suficiente (ou próximo suficiente ao projeto) para usar dois ataques diferentes para dois tokens do projeto”.
1/9
Another DeFi protocol xToken was exploited today and almost $25 million was stolen.
The attacker was smart enough (or close enough to this project) to use two different exploits for two projects’ tokens.? pic.twitter.com/cCmOu1hj9g
— Igor Igamberdiev (@FrankResearcher) May 12, 2021
O invasor roubou 2,4 mil ETH (US$ 10,3 milhões), 781 mil BNT (US$ 6,2 milhões), 407 mil SNX (US$ 8 milhões) e 1,9 bilhões de tokens xBNTa. Todos os tokens já foram vendidos — exceto pelos tokens xBNTa — por um total de 5,6 mil ETH (US$ 24,5 milhões).
O invasor pagou 5 ETH (US$ 21,9 mil) em taxas para realizar o ataque. A taxa foi alta porque as taxas de transação na Ethereum são baseadas na complexidade da transação — e essa foi uma transação bem complexa.
xToken percebeu o hack e prometeu outras informações sobre o incidente, tuitando: “estamos em dívida com a comunidade por uma expiração e irá fornecer outra atualização em breve”.
xSNXa and xBNTa contracts have been exploited. Minting paused on all contracts as we investigate further.
Liquidity pools have been drained, however most SNX and BNT remain in xToken contracts.
We owe the community an explanation and will be providing another update shortly
— xToken (@xtokenmarket) May 12, 2021