Protocolo bZx é novamente invadido, perdendo US$ 8 milhões em falha no código
O protocolo de empréstimos de finanças descentralizadas (DeFi) bZx foi invadido novamente no domingo à noite (13) e perdeu mais de US$ 8 milhões devido a um código falho em seus contratos autônomos.
O código falho permitiu que o invasor duplicasse ativos ou aumentasse seu saldo em iTokens (tokens de geração de juros no bZx). Horas após perceber a falha, bZx interrompeu a emissão e queima de iTokens e, em seguida, o tornou disponível após um conserto que corrigiu os saldos duplicados.
A falha permitiu que o hacker emitisse 219,2 mil tokens LINK (equivalentes a US$ 2,6 milhões), 4.503 ETH (US$ 1,6 milhões), 1.756.351 USDT (US$ 1,7 milhões), 1.412.048 USDC (US$ 1,4 milhões) e 667.989 DAI (US$ 680 mil), totalizando US$ 8,1 milhões.
bZx disse que nenhum fundo dos usuários está em risco, pois a perda está sendo coberta por seu fundo de seguros.
Marc Thalen, principal engenheiro da Bitcoin.com, afirma ter sido o primeiro a identificar a falha. Ele disse que mais de US$ 200 milhões de fundos do bZx estavam em risco.
1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu
— 0xCommodity (@0xCommodity) September 14, 2020
O próprio Thalen testou a falha e criou um empréstimo usando USDC (US$ 100). “Com ele, obtive iUSDC. Em seguida, enviei para mim mesmo, praticamente duplicando os fundos. Depois, criei um pedido por US$ 200”, afirmou ele.
Kyle Kistner, cofundador do bZx, contou ao The Block que “é difícil dizer” como essa falha “grave” não foi identificada pelas duas empresas de auditoria do protocolo, Peckshield e Certik. As empresas estão preparando uma análise sobre a principal causa, disse Kistner.
Peckshield disse que “uma auditoria não pode garantir que serão encontrados todos os possíveis problemas”, enquanto Certik disse que “segurança é uma jornada”.
Alguns especialistas da indústria querem que o bZx interrompa operações e audite novamente seu protocolo. Porém, Kistner disse ao The Block que auditores de segurança do bZx “não comentaram sobre tal ação”.
Thalen espera que haja um programa de caça a bugs (ou “bug bounty”) para o bZx. Kistner contou que ele receberá uma recompensa de S$ 12,5 mil — a média que três participantes sugeriram, já que Thalen relatou “um incidente contínuo que já estávamos investigando”.
Essa foi a terceira vez que bZx foi invadido este ano. Em fevereiro, o protocolo perdeu cerca de US$ 945 mil em dois ataques.
O ataque mais recente fez com que o valor total bloqueado (TVL) no bZx despencasse 70%, para apenas US$6,3 milhões. Kistner contou que “coisas mudam muito rápido no setor DeFi”, se referindo a uma possível recuperação.
Quando perguntado como o bZx planeja fortalecer a confiança de seus usuários em meio às invasões, Kistner disse: “queremos criar produtos e estruturas de incentivo tão atrativos que usuários são praticamente forçados a usarem, independente de como se sentem sobre nossa marca”.
Empréstimos-relâmpago em invasões ao bZx
levantam críticas sobre o setor DeFi