Curve Finance, uma exchange descentralizada da blockchain Ethereum, foi alvo de um ataque contra seu frontend. A fachada do website da plataforma foi comprometida e qualquer pessoa que acessou a conta por algumas horas teve seus fundos drenados para outra carteira.

Lançada em 2020, Curve Finance é uma exchange descentralizada e automated market maker (AMM) que negocia stablecoins e ativos digitais wrapped como wBTC and tBTC. A plataforma é reconhecida por ter uma estrutura inovadora projetada em torno do token Curve DAO (CRV).

O episódio ocorreu na noite do dia 09/08. O hacker conseguiu escapar com US$ 570 mil em ETH antes que o bug fosse consertado (e parte do ETH também foi congelado).

Fundos foram transferidos para Fixed Float, que congelou parte do ETH

A equipe de Curve abordou quase imediatamente o assunto e publicou no Twitter orientações para que as pessoas não usassem o frontend enquanto estavam investigando.

“O problema foi encontrado e revertido. Se você tiver aprovado algum contrato em Curve nas últimas horas, por favor, revogue imediatamente. Favor usar http://curve.exchange por enquanto até que a propagação para http://curve.fi seja revertida ao normal.”

Segundo @Zachxbt, um investigador de on-chain anônimo, os fundos foram enviados para a exchange Fixed Float, que rapidamente congelou parte do ETH que o hacker tentou mover através da plataforma.

Segundo a imprensa americana, o hacker alterou a entrada do sistema de domínio (DNS), encaminhando os usuários a uma página clone e aprovando um falso contrato. Em resposta ao hack, o protocolo aconselhou os clientes, em uma mensagem de Telegram, a não usar curve.fi ou curve.exchange até que os operadores resolvessem a questão. “Estamos cientes de um problema de frontend que está aprovando um contrato falso”, dizia a mensagem.

Ataques contra frontend têm se tornado comuns no universo cripto

Ataques como este têm crescido em popularidade recentemente, já que requerem um conjunto de habilidades diferente em comparação com outros tipos de hacks. Até pouco tempo, os hackers estavam mais preocupados em se familiarizar o máximo possível com as nuances dos contratos inteligentes e Solidity – linguagem de programação criada pela equipe Ethereum para a construção e concepção de contratos inteligentes em plataformas blockchain.

Mas a forma de ataque ocorrida em Curve Finance está focada em interferir com o frontend de um protocolo, o que significa que os usuários, inconscientemente, interagem com contratos diferentes do que eles pensam interagir. Este tipo de ataque é baseado na premissa de que haverá muitas pessoas que irão interagir com o contrato sem verificá-lo com cuidado, e que isto tornará possível a extração de muitos fundos de clientes menos atentos.

Por que ataques de hackers continuam a aumentar?

O número de hackers e ataques a plataformas de criptomoeda não parece ter diminuído, mas a falta de anonimato certamente tornou mais fácil para os investigadores on-chain. Hackers, explica Jamie McNeill, são reticentes em usar Tornado Cash, agora banido dos Estados Unidos por sanção do governo americano, porque temem que isso seja pior que não tornar os fundos anônimos.

Tornado Cash (TORN) é uma solução de privacidade descentralizada com uma ferramenta que permite usuários tornar suas transações Ethereum praticamente não rastreáveis. Como um protocolo descentralizado, Tornado Cash ofusca as transações, mascarando as origens dos fundos.

Partes essenciais da infraestrutura de Ethereum e da Web3 colaboraram voluntariamente com as autoridades americanas. Primeiro, houve o anúncio de que Infura e Alchemy, os provedores-chave de RPC para carteiras Web3 como Metamask, desativaram partes de seu software para que ele não funcione com fundos provenientes de Tornado Cash.

Isto não é sintomático de uma guerra contra a lavagem de dinheiro. Já existem processos neste sentido e não é segredo que essas medidas são totalmente ineficazes. De acordo com Ronald F. Pol, da La Trobe University, apenas 0,1% dos ativos roubados são recuperados de criminosos graças a estas medidas – 99,9% não o são.

Os hackers experientes são desenvolvedores competentes e estão suficientemente familiarizados com o uso de exchanges descentralizadas e swaps. Eles conseguem facilmente tornar anônimo os ganhos obtidos ilegalmente. Para muitos analistas, estas medidas não os prejudicarão significativamente de forma alguma, mas prejudicarão pessoas normais que simplesmente querem mais privacidade.

Nossos guias cripto

Tamadoge (TAMA) - A Dogecoin P2E

Nossa Avaliação

  • 'Potencial 10x' - Relatório CNBC
  • Deflacionária, baixa oferta - 2 bilhões
  • Move to Earn, integração do metaverso no roteiro
  • NFT Doge Pets - Potencial para adoção em massa
  • Próxima ICO em Exchange de Alto Escalão
Saiba mais
Criptoativos são um investimento de alto risco e podem não ser indicados para novatos.