CryptoTimes

Protocolo bZx é novamente invadido, perdendo US$ 8 milhões em falha no código

14 set 2020, 8:14 - atualizado em 14 set 2020, 8:14
Felizmente, os fundos perdidos não afetam diretamente os usuários, pois são assegurados por um fundo distinto (Imagem: Crypto Times)

O protocolo de empréstimos de finanças descentralizadas (DeFi) bZx foi invadido novamente no domingo à noite (13) e perdeu mais de US$ 8 milhões devido a um código falho em seus contratos autônomos.

O código falho permitiu que o invasor duplicasse ativos ou aumentasse seu saldo em iTokens (tokens de geração de juros no bZx). Horas após perceber a falha, bZx interrompeu a emissão e queima de iTokens e, em seguida, o tornou disponível após um conserto que corrigiu os saldos duplicados.

A falha permitiu que o hacker emitisse 219,2 mil tokens LINK (equivalentes a US$ 2,6 milhões), 4.503 ETH (US$ 1,6 milhões), 1.756.351 USDT (US$ 1,7 milhões), 1.412.048 USDC (US$ 1,4 milhões) e 667.989 DAI (US$ 680 mil), totalizando US$ 8,1 milhões.

bZx disse que nenhum fundo dos usuários está em risco, pois a perda está sendo coberta por seu fundo de seguros.

Marc Thalen, principal engenheiro da Bitcoin.com, afirma ter sido o primeiro a identificar a falha. Ele disse que mais de US$ 200 milhões de fundos do bZx estavam em risco.

O próprio Thalen testou a falha e criou um empréstimo usando USDC (US$ 100). “Com ele, obtive iUSDC. Em seguida, enviei para mim mesmo, praticamente duplicando os fundos. Depois, criei um pedido por US$ 200”, afirmou ele.

Kyle Kistner, cofundador do bZx, contou ao The Block que “é difícil dizer” como essa falha “grave” não foi identificada pelas duas empresas de auditoria do protocolo, Peckshield e Certik. As empresas estão preparando uma análise sobre a principal causa, disse Kistner. 

Peckshield disse que “uma auditoria não pode garantir que serão encontrados todos os possíveis problemas”, enquanto Certik disse que “segurança é uma jornada”.

Agora, o protocolo foi invadido três vezes: duas em fevereiro, resultando em uma perda de uS$ 945 mil e, agora, de US$ 8 milhões (Imagem: Crypto Times)

Alguns especialistas da indústria querem que o bZx interrompa operações e audite novamente seu protocolo. Porém, Kistner disse ao The Block que auditores de segurança do bZx “não comentaram sobre tal ação”.

Thalen espera que haja um programa de caça a bugs (ou “bug bounty”) para o bZx. Kistner contou que ele receberá uma recompensa de S$ 12,5 mil — a média que três participantes sugeriram, já que Thalen relatou “um incidente contínuo que já estávamos investigando”.

Essa foi a terceira vez que bZx foi invadido este ano. Em fevereiro, o protocolo perdeu cerca de US$ 945 mil em dois ataques.

O ataque mais recente fez com que o valor total bloqueado (TVL) no bZx despencasse 70%, para apenas US$6,3 milhões. Kistner contou que “coisas mudam muito rápido no setor DeFi”, se referindo a uma possível recuperação.

Quando perguntado como o bZx planeja fortalecer a confiança de seus usuários em meio às invasões, Kistner disse: “queremos criar produtos e estruturas de incentivo tão atrativos que usuários são praticamente forçados a usarem, independente de como se sentem sobre nossa marca”.

Empréstimos-relâmpago em invasões ao bZx
levantam críticas sobre o setor DeFi