Um ataque recente no setor DeFi – revelou vulnerabilidades no sistema de armazenamento de criptomoedas, especificamente no vault ERC-4626. Os hackers aproveitaram uma ferramenta familiar chamada flash loan (empréstimo relâmpago, pegando emprestado e pagando de volta em um instante) para manipular a taxa de câmbio e enganar o sistema de precificação, também conhecido como oracle.
No dia 27/2, um hacker realizou o que é chamado de "ataque de doação" ao emprestar cerca de 4 milhões de dólares da Aave - uma plataforma de empréstimos de criptomoedas. O alvo era o token wUSDM, pertencente ao sistema vault ERC-4626 do Mountain Protocol. Esta é uma criptomoeda lucrativa, atrelada à stablecoin USDM - uma criptomoeda que possui um valor estável devido a ser garantida por títulos de curto prazo dos EUA. O hacker deliberadamente elevou a taxa de câmbio do wUSDM de 1,06 para 1,7, fazendo com que parecesse ter um valor mais alto do que realmente tinha.
Em seguida, o hacker usou duas contas para se "desfazer" – ou seja, fingir vender seus próprios ativos – na Venus Protocol, outra plataforma de empréstimos. Embora a Venus rapidamente tenha bloqueado as transações para evitar, o hacker ainda assim embolsou cerca de 200.000 USD em lucros. Enquanto isso, a Venus sofreu uma perda de mais de 716.000 USD, de acordo com um relatório de análise da Chaos Labs, uma empresa especializada em gestão de riscos.
Yoni Keselbrener, chefe do departamento DeFi na Lightblocks Labs, compartilhou com o jornal The Block: “Ambas as equipes reagiram rapidamente bloqueando o mercado, ajustando as regras de risco e trazendo a taxa de volta a níveis normais.” Keselbrener é um contribuinte para o eOracle, um sistema que fornece dados do mundo real para aplicações descentralizadas na Ethereum.
Vault ERC-4626, lançado em maio de 2022, é o padrão para a criação de repositórios de criptomoedas. No entanto, um relatório da Chaos Labs aponta que este padrão "não possui medidas de proteção quando a taxa de câmbio muda de forma anormal nas plataformas de empréstimo."
Em janeiro de 2024, a Euler Finance divulgou um estudo alertando que a maioria dos vaults ERC-4626 não possui mecanismos de segurança para evitar a manipulação das taxas de câmbio. Eles argumentam que é necessário combinar várias medidas de proteção para ser mais eficaz.
A Chaos Labs também afirmou que o ataque poderia ter sido evitado se fossem adotadas medidas como: “O contrato wUSDM deve usar um sistema de verificação de taxa de câmbio de várias fontes diferentes. Ou se a Venus fosse alertada com antecedência, poderia limitar o aumento anormal da taxa de câmbio.” Para evitar a repetição, Aave planeja implementar o mecanismo CAPO – uma ferramenta que limita o aumento de preços artificiais – para todas as criptomoedas lucrativas, impedindo que hackers gerem lucros fictícios.
A conta X da Curve Finance comentou: "Esta vulnerabilidade não ocorre apenas com vaults padrão, mas com todos os tipos de vaults. Este é um erro comum em plataformas de empréstimo."
Keselbrener comentou: “O mecanismo CAPO é muito eficaz, mas requer programação complexa adicional e precisa ser monitorado continuamente. Devemos garantir que não prejudique os lucros legítimos enquanto ainda impede hackers.” Ele acrescentou: “À medida que o DeFi se torna cada vez mais complexo, não podemos depender apenas de dados de preços simples. É necessário entender bem os riscos de cada tipo de criptomoeda. O sistema de verificação de preços de várias fontes não é uma desvantagem, mas sim uma camada de proteção importante. Os provedores de oracle especializados podem projetar medidas para detectar e impedir ataques como este.”
Isenção de responsabilidade:Este artigo tem apenas fins informativos e não constitui aconselhamento de investimento. Os investidores devem fazer uma pesquisa cuidadosa antes de tomar decisões. Não nos responsabilizamos pelas suas decisões de investimento.
A Tailândia aprova USDT e USDC, expandindo o comércio de criptomoedas
A autoridade reguladora financeira da Califórnia alerta sobre 7 tipos de fraudes em criptomoedas e IA novas
A Microsoft descobriu o trojan StilachiRAT que ataca carteiras de criptomoedas no Google Chrome remotamente
Thạch Sanh
@media only screen and (min-width: 0px) and (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
width:320px;
height: 100px;
}
}
@media only screen and (min-width: 728px) and (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
width: 728px;
height: 90px;
}
}
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
O recente ataque DeFi expôs vulnerabilidades no padrão de vault ERC-4626
No dia 27/2, um hacker realizou o que é chamado de "ataque de doação" ao emprestar cerca de 4 milhões de dólares da Aave - uma plataforma de empréstimos de criptomoedas. O alvo era o token wUSDM, pertencente ao sistema vault ERC-4626 do Mountain Protocol. Esta é uma criptomoeda lucrativa, atrelada à stablecoin USDM - uma criptomoeda que possui um valor estável devido a ser garantida por títulos de curto prazo dos EUA. O hacker deliberadamente elevou a taxa de câmbio do wUSDM de 1,06 para 1,7, fazendo com que parecesse ter um valor mais alto do que realmente tinha.
Em seguida, o hacker usou duas contas para se "desfazer" – ou seja, fingir vender seus próprios ativos – na Venus Protocol, outra plataforma de empréstimos. Embora a Venus rapidamente tenha bloqueado as transações para evitar, o hacker ainda assim embolsou cerca de 200.000 USD em lucros. Enquanto isso, a Venus sofreu uma perda de mais de 716.000 USD, de acordo com um relatório de análise da Chaos Labs, uma empresa especializada em gestão de riscos.
Yoni Keselbrener, chefe do departamento DeFi na Lightblocks Labs, compartilhou com o jornal The Block: “Ambas as equipes reagiram rapidamente bloqueando o mercado, ajustando as regras de risco e trazendo a taxa de volta a níveis normais.” Keselbrener é um contribuinte para o eOracle, um sistema que fornece dados do mundo real para aplicações descentralizadas na Ethereum.
Vault ERC-4626, lançado em maio de 2022, é o padrão para a criação de repositórios de criptomoedas. No entanto, um relatório da Chaos Labs aponta que este padrão "não possui medidas de proteção quando a taxa de câmbio muda de forma anormal nas plataformas de empréstimo."
Em janeiro de 2024, a Euler Finance divulgou um estudo alertando que a maioria dos vaults ERC-4626 não possui mecanismos de segurança para evitar a manipulação das taxas de câmbio. Eles argumentam que é necessário combinar várias medidas de proteção para ser mais eficaz.
A Chaos Labs também afirmou que o ataque poderia ter sido evitado se fossem adotadas medidas como: “O contrato wUSDM deve usar um sistema de verificação de taxa de câmbio de várias fontes diferentes. Ou se a Venus fosse alertada com antecedência, poderia limitar o aumento anormal da taxa de câmbio.” Para evitar a repetição, Aave planeja implementar o mecanismo CAPO – uma ferramenta que limita o aumento de preços artificiais – para todas as criptomoedas lucrativas, impedindo que hackers gerem lucros fictícios.
A conta X da Curve Finance comentou: "Esta vulnerabilidade não ocorre apenas com vaults padrão, mas com todos os tipos de vaults. Este é um erro comum em plataformas de empréstimo."
Keselbrener comentou: “O mecanismo CAPO é muito eficaz, mas requer programação complexa adicional e precisa ser monitorado continuamente. Devemos garantir que não prejudique os lucros legítimos enquanto ainda impede hackers.” Ele acrescentou: “À medida que o DeFi se torna cada vez mais complexo, não podemos depender apenas de dados de preços simples. É necessário entender bem os riscos de cada tipo de criptomoeda. O sistema de verificação de preços de várias fontes não é uma desvantagem, mas sim uma camada de proteção importante. Os provedores de oracle especializados podem projetar medidas para detectar e impedir ataques como este.”
Isenção de responsabilidade: Este artigo tem apenas fins informativos e não constitui aconselhamento de investimento. Os investidores devem fazer uma pesquisa cuidadosa antes de tomar decisões. Não nos responsabilizamos pelas suas decisões de investimento.
Thạch Sanh
@media only screen and (min-width: 0px) and (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { width:320px; height: 100px; } } @media only screen and (min-width: 728px) and (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { width: 728px; height: 90px; } }