Hacker rouba US$ 1 milhão em criptomoedas e perde todo o valor ao destruir o próprio contrato

Na última quinta-feira (21), um hacker invadiu um protocolo de empréstimo DeFi chamado Zeed, um ecossistema financeiro integrado descentralizado. No entanto, depois de roubar US$ 1 milhão (o equivalente a R$ 4,8 milhões) em criptomoedas, o criminoso se esqueceu de transferir mais o valor de seu contrato inteligente antes de configurá-lo para autodestruição. Já consegue imaginar o desfecho?

Com seu feito, o hacker garantiu que os fundos nunca pudessem ser movidos, em meio a uma ação simplesmente irreversível. O crime consistiu na exploração de uma vulnerabilidade da própria plataforma, mais precisamente no método de distribuição de recompensas de tokens criptográficos. Na prática, o criminoso conseguiu criar recompensas adicionais que foram vendidas no mercado integrado, levando o valor do token do protocolo a uma queda, até chegar a zero.

Quem descobriu essa movimentação estranha foi a empresa de segurança e análise de blockchain BlockSec, que não hesitou em compartilhar no Twitter: “E se as recompensas puderem ser triplicadas? Nosso sistema detectou uma transação que explorou a vulnerabilidade de distribuição de recompensas no Zeed”, escreveu a equipe. “Curiosamente, o invasor não transferiu os tokens obtidos antes de autodestruir o contrato de ataque. Provavelmente ele estava muito animado”, ironizou a empresa.

1/ What if rewards can be tripled?

Our system detected an attack transaction(https://t.co/xk8Tet2o0Q) that exploited the reward distribution vulnerability in ZEED on #BSC.@zeedcommunity @defiprime

— BlockSec (@BlockSecTeam) April 21, 2022

O hacker lucrou mais de US$ 1 milhão em tokens Binance-Peg (BSC-USD), e após a exploração, moveu todos os tokens roubados para um contrato inteligente. Esse tipo de contrato é chamado informalmente de attack contract (na tradução livre, contrato de ataque) pela comunidade de segurança em criptomoedas. Os attack contracts costumam ser programados para retirar fundos para uma carteira e depois se autodestruir para apagar todos os vestígios do código do contrato, tornando mais fácil para os hackers enterrarem seus rastros.

Embora a operação tenha, de fato, desaparecido com os rastros, o hacker não realizou o “saque” dessa quantia a tempo, efetivamente perdendo todo o valor — que, segundo a PeckShield, estão eternamente perdidos.

Hackers do mercado cripto

Recentemente, muitos casos de empresas do mercado cripto hackeadas têm vindo à tona, preocupando os especialistas. No último domingo (17), por exemplo, o protocolo de stablecoin Beanstalk Farms anunciou ter sofrido um golpe de flash loan (empréstimo instantâneo sem garantia), em que o autor do crime levou cerca de US$ 80 milhões — o equivalente a cerca de R$ 374 milhões, e ainda levou a stablecoin BEAN ao colapso, esvaindo com toda a garantia de US$ 182 milhões (R$ 852 milhões) da empresa.

No fim de março, um grupo de hackers atacou a blockchain Ronin Network, focada no mercado de games (conhecida principalmente pela produção do jogo Axie Infinity), levando a quantia de 173.600 ETH e 25,5 milhões de USDC, uma stablecoin que possui seu preço pareado ao dólar. Ao todo, o prejuízo foi de US$ 600 milhões, o que equivale a cerca de R$ 2,8 bilhões.

Já no início de abril, um hacker se destacou ao roubar US$ 50 milhões (R$ 236 milhões) e declarar que as vítimas que perderam menos de US$ 100 mil (R$ 1,8 milhão) receberiam seu dinheiro de volta, enquanto o restante seria doado para caridade, comportamento que lhe rendeu a alcunha de Robin Hood das criptos.