Uma vulnerabilidade foi detectada e explorada durante esta manhã; membros do projeto afirmam que irão “remediar” o caso

TempleDAO sofre ataque hacker

TempleDAO, uma plataforma financeira que promete ganhos sustentáveis via staking, sofreu um ataque hacker esta manhã (11). O criminoso descobriu uma vulnerabilidade em um cofre de staking Ethereum; com isso, conseguiu roubar 1.830 ETH, segundo dados do Etherscan.

Um dos membros da equipe disse que seus cofres CORE, que possuem cerca de US$ 100 milhões em stablecoins, não foram afetados durante o embuste. Além disso, ele alega que “o atacante não poderá causar mais danos” e que “remediações serão feitas a todos os usuários afetados”.

O Etherscan também aponta que a drenagem de fundos ocorreu às 8:11 da manhã (horário de Brasília). De acordo com anúncio oficial da TempleDAO no Discord, o saque foi de 1.418.303 TEMPLE e 1.362.438 FRAX.

• Veja também: Binance sofre impacto com o ataque hacker

Modus operandi

Os tokens TEMPLE foram vendidos para a stablecoin FRAX. O endereço envolvido estava ligado a uma conta na Binance, que garantiu os fundos necessários para executar o ataque contra a TempleDAO. Essa conta recebeu 1.1 ETH uma hora e meia antes da investida.

A Paladin Blockchain Security, empresa especializada em cibersegurança, tweetou que o ocorrido é oriundo de “várias práticas ruins” envolvendo funções de staking. Por meio da falha, o hacker conseguiu migrar fundos em staking para contratos anteriores.

1/ The StaxLPStaking contract which was exploited allowed for migrating stakes from an older contract using `migrateStake`.

This way users could move to the new contract in a single call. pic.twitter.com/2uM06nEfrw

— Paladin Blockchain Security (@0xPaladinSec) October 11, 2022

O invasor fez uso desta função específica com um endereço falso, dando-lhe acesso para retirar todos os fundos do cofre para si.

Vulnerabilidades em plataformas de finanças com criptomoedas têm sido uma grande preocupação nos últimos tempos. No mesmo dia, o The Block reportou outro ataque hacker, dessa vez contra a QANplatform, que levou à perda de US$ 2 milhões em ativos digitais.