Protocolo Impossible Finance perde US$ 500 mil em ataque de empréstimo-relâmpago
Nesta segunda-feira (21), o Impossible Finance, protocolo de finanças descentralizadas (DeFi), perdeu cerca de US$ 500 mil em fundos de usuários durante um ataque de empréstimo-relâmpago, noticia o Decrypt.
O ataque aconteceu nesta madrugada e resultou na perda de 229,84 ETH. Impossible Finance foi desenvolvido no Binance Smart Chain (BSC).
Mudit Gupta, desenvolvedor do SushiSwap, afirmou que o mesmo tipo de vulnerabilidade resultou na perda de US$ 7,2 milhões do BurgerSwap — outro protocolo criado no BSC — em maio.
Assim como o ataque à BurgerSwap, o hacker realizou um ataque de empréstimo-relâmpago para zerar os fundos do pool de liquidez do Impossible Finance com a ajuda de um token falso.
Impossible finance got exploited today for $500k.https://t.co/mzCPRluOjn
Same exploit as the burger swap one:https://t.co/3PkVtn7Hi7
If the original project gets hacked, why don't the forks react?
— Mudit Gupta (@Mudit__Gupta) June 21, 2021
Ataques de empréstimo-relâmpago acontecem quando um invasor toma um empréstimo, sem apresentar garantias a um protocolo, e manipula o mercado a seu valor por meio de truques técnicos.
A empresa de segurança WatchPlug explicou que o hacker se aproveitou de uma vulnerabilidade do contrato autônomo do pool para realizar diversas conversões de IF, o token nativo do protocolo, para BUSD e, depois, em BNB, a fim de pagar o empréstimo-relâmpago.
Porém, o curioso é que as conversões foram realizadas “em sequência a quase o mesmo preço”, algo “geralmente impossível” por conta de “slippage” — diferença entre o preço esperado e o preço de execução.
At 4 AM UTC, Jun 21, $0.5M was stolen from Impossible Finance.
The hacker made multiple swaps in a row at about the same price and drained the LP, which is usually impossible.
How does Impossible Finance make the impossible possible?
Read our analysis:https://t.co/3r0p1dOFWz
— WatchPug (@WatchPug_) June 21, 2021
Outras vítimas desse ataque, que também são desenvolvidas no BSC, incluem PancakeBunny e BeltFinance.
No Telegram, a equipe do Impossible Finance confirmou que irá compensar todos os fundos depositados nos pools de liquidez IF/BUSD e IF/BNB antes do ataque.