A exploração é um dos crescentes incidentes de hackers em projetos DeFi, nos últimos meses.

Hackers de contratos inteligentes visaram projetos DeFi fundidos, da Rari Capital e Fei Protocol, para roubar quase US $80 milhões no fim de semana.

Tribe DAO busca soluções

Em vez de buscar financiamento para cobrir as perdas, o Tribe DAO, que gerencia sua governança, pode votar para tornar os usuários redundantes.

A plataforma de criptomoedas Fei Protocol espera que uma recompensa de US $10 milhões “sem fazer perguntas” estimule os hackers a devolverem quase US $80 milhões em ativos digitais roubados no fim de semana.

Fei, o emissor de stablecoin que se fundiu com a startup de empréstimos cripto, Rari Capital, há apenas cinco meses, fez o apelo no Twitter horas após a exploração, na qual hackers se infiltraram nos pools de empréstimos da plataforma, sem serem detectados, no sábado.

Estamos cientes de uma exploração em vários pools da Rari Fuse. Identificamos a causa raiz e pausamos todos os empréstimos para mitigar mais danos, tuitou a Fei Protocol.

Um pedido de trégua através de bom senso

Para o explorador, por favor, aceite uma recompensa de US $10 milhões sem que façamos perguntas, se você devolver os fundos restantes dos usuários.

O hacker da exploração da Rari aproveitou um bug crítico de “reentrância” enterrado no código do protocolo. Esses bugs envolvem contratos inteligentes chamando uns aos outros para movimentar fundos sem verificações apropriadas.

Para sua base de código, Fei bifurcou (leia-se: copiado) a plataforma de mercado monetário Ethereum Compound no início de 2021. A Compound permite empréstimos de criptomoedas ao avaliar ativos digitais. Ele determina automaticamente os limites de empréstimo e mede as condições de mercado para calcular os juros.

• Veja também: Banco Galicia da Argentina começa a oferecer serviços de criptomoedas

A falha explorável passou pela auditoria

Fei fez algumas alterações no código, no entanto, apesar das auditorias, a falha não foi descoberta até que fosse tarde demais.

Os “forks compostos” sofreram destinos semelhantes no passado. Rari chegou a pagar US $2 milhões a pesquisadores de segurança que descobriram uma falha quase idêntica, em março.

A exchange descentralizada Uniswap, a plataforma DeFi Cream Finance e The Dao, entre outros projetos, foram vítimas de ataques de reentrada, desde 2016.

Rari também perdeu US $11 milhões para hackers de contratos inteligentes em um ataque não relacionado, em maio passado, cerca de 60% do capital do protocolo.

Uma festa de empréstimos que não pretendem ser quitados

Nesse caso, os pools de empréstimos da Rari Fuse (que facilitam os empréstimos de tokens ERC-20 relacionados) efetivamente não conseguiram acompanhar quanta criptomoeda foi emprestada.

A configuração permitiu ilegitimamente o empréstimo de grandes quantidades de criptomoedas, a retirada da garantia do empréstimo e a retenção de fundos emprestados, de acordo com o auditor de contratos inteligentes, CertiK .

Os hackers emprestaram US $150 milhões em stablecoin USDC e 50.000 WETH (US $141,5 milhões) para fornecer mais empréstimos de criptomoedas de sete pools da Rari Fuse.

• Veja também: Tesla diz a SEC que acredita no potencial das criptomoedas a longo prazo

A falha em si era algo simples para o explorador

Depois de acionar uma função de contrato inteligente “exit Market” com bugs, eles retiraram a garantia, pagaram o empréstimo em flash e mantiveram os fundos “emprestados” da Rari Fuse. Os hackers repetiram esse processo até acumular cerca de US $80 milhões em criptomoedas.

A Rari Capital divulgou mais tarde que outros 100 ETH foram hackeados no domingo de um pool de Fuse na plataforma Ethereum de camada 2 Arbitrum.

O diretor de tecnologia da BlockSec, Lei Wu, confirmou que 5.400 ETH do estoque roubado foram enviados para o misturador de criptomoedas, Tornado Cash .

Os fundos roubados pertencem essencialmente aos usuários da Rari Fuse que emprestaram suas criptomoedas. Com isso em mente, o Fei Protocol não é exatamente a vítima, apesar da exploração visando seu código-fonte.

Quem são as verdadeiras vitimas?

O desenvolvedor do Rari, Jack Longarzo, disse que a plataforma Fuse da Rari e o Tribe DAO, que gerencia a governança de Fei e Rari, são as verdadeiras vítimas. Na verdade, o Tribe DAO pode deliberar se deve liberar fundos de seus tesouros para tornar os usuários do Rari Fuse redundantes. Seu tesouro atualmente vale US $104 milhões, de acordo com a OpenOrgs.

Embora ainda não haja uma proposta formal de resgate (e Longarzo não comentaria se uma estivesse em andamento), tal movimento contrastava fortemente com os resgates financiados por outras plataformas DeFi em apuros, como Wormhole e Ronin , que geralmente envolvem tomada de decisão mais centralizada e privada, do que um voto comunitário.

Mas há alguma indicação de que os participantes da Tribe DAO podem estar perdendo a fé. O token nativo do DAO, TRIBE, caiu 20% desde que o ataque foi divulgado pela primeira vez.

Fontes de pesquisa: Rari Protocol, Fei Protocol e Tribe DAO.