Crypto

O mirabolante passo a passo do ataque exploit sofrido pelo protocolo YFI

No dia 4 de fevereiro o protocolo do Yearn.Finance sofreu um ataque exploit.

No total, o protocolo perdeu US$11 milhões de dólares, e o explorador que cometeu o ataque ficou com US$2,8 milhões de dólares.

Um ataque exploit é qualquer tipo de ataque a protocolos, redes, hardwares, ou sistemas operacionais onde são exploradas suas vulnerabilidades ou fragilidades.

No caso dos protocolos de finanças descentralizadas (DeFi), os ataques exploits tem utilizados fragilidades no sistema de empréstimos e bloqueio de Fundos, onde grandes volumes de Fundos são utilizados para realizar os ataques em protocolos com vulnerabilidades relativamente não testadas.

No caso do Yearn.Finance o cofre DAI de Fundos bloqueados em garantia foi explorado devido à fragilidade do protocolo YFI.

Assim como nos diversos casos de ataques exploit que ocorreram nos protocolos DeFi em 2020, o explorador utilizou empréstimos instantâneos ou “flash”, que são permitidos dentro da rede Ethereum (ETH) de DeFi.

Este tipo de empréstimo não necessita de garantia e são reembolsados imediatamente à sua solicitação.

Desta forma, o explorador ou invasor fez dois grandes empréstimos flash de 116.000 ETHs e de 99.000 ETHs através dos protocolos dYdX e AAVE.

No passo seguinte o invasor colocou estes ETHs como garantia pegando 134 milhões de unidades de USDC e 129 milhões de unidades de DAI.

Depois, depositou 134 milhões de unidades de USDC e 36 milhões de unidades de DAI no pool 3crv do protocolo Curve.

Em seguida retirou 165 milhões de unidades de USDT desse mesmo pool.

E não terminou por aí. Numa sequência de 5 ciclos seguidos de empréstimos, o invasor fez repetidamente os seguintes procedimentos:

Depósito de 93 milhões de unidades de DAI no cofre de 3crv; adição de 165 milhões de unidades de USDT ao pool 3crv; retirada de 92 milhões de unidades de DAI do cofre da yDAI; e a retirada final de 165 milhões de unidades de USDT do pool 3crv.

Com isto, o invasor retirou para seu lucro cerca de 39 milhões de unidades de DAI e 134 milhões de unidades de USDC.

Após os empréstimos compostos e empréstimos reembolsados, o flash striker ficou com um pecúlio residual de US$ 2,8 milhões de dólares.

Pra executar este processo complexo o invasor possuía muitos Fundos, o que possibilitou explorar as vulnerabilidades dos protocolos.

A tecnologia DeFi é incrível e cada vez mais aplicativos descentralizados (Dapps) estão surgindo.

Mas com isto, as vulnerabilidades são expostas e invasores podem se aproveitar deles para ataques coordenados que resultam em perdas imensas tanto para os protocolos quanto para os usuários.

.

Cadastre-se agora! Eleita a melhor corretora do Brasil. Segurança, Liquidez e Agilidade. Não perca mais tempo, complete seu cadastro em 5 minutos! Acesse: http://www.bitcointrade.com.br/




Source link

Mostrar mais

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Verifique também
Fechar
Botão Voltar ao topo
Fechar
Fechar