Protocolo DeFi de Empréstimos Euler Sofre Hack de $200M
Mesmo após várias auditorias, um bug no código do protocolo permitiu ataque utilizando empréstimo instantâneo (Flash Loan)
Prezada Nação Bankless,
No artigo de hoje, apresentamos a tradução do artigo DeFi Lender Euler Suffers $200M Exploit, originalmente publicado em The Defiant.
Você pode assinar a newsletter gratuita do The Defiant por este link.
Se quiser acompanhar o The Defiant em português, inscreva-se na newsletter brasileira:
— Nação Bankless
Protocolo DeFi de Empréstimos Euler Sofre Hack de $200M
Um Bug no Código do Protocolo Permitiu Ataque Utilizando Empréstimo Instantâneo (Flash Loan)
Euler, um protocolo de empréstimo que possuía mais de $400M em ativos de usuários até domingo, 12 de março, perdeu quase $200M no que talvez seja o maior ataque hacker DeFi de 2023.
O hacker conseguiu roubar quase $136M em stETH da Lido Finance, $34M em USDC, $18.5M em WBTC e $8.8M em DAI.
O token de governança $EUL do protocolo perdeu mais da metade de seu valor após o ataque.
A equipe do Euler confirmou que está trabalhando com a TRM Labs, Chainalysis e a comunidade de segurança do Ethereum para rastrear e tentar recuperar os fundos roubados. As autoridades policiais do Reino Unido e dos EUA também foram notificadas.
O valor total bloqueado (TVL) do Euler atualmente é de pouco mais de $10M.
Função Vulnerável
O hack surgiu de uma vulnerabilidade na função do contrato inteligente chamada 'donateToReserve', que foi adicionada como parte de uma grande reformulação há oito meses e permite que os usuários doem saldos pequenos para a reserva do protocolo.
O Euler usa dois tipos de tokens para rastrear saldos dos usuários. Os eTokens representam ativos de garantia, enquanto os dTokens representam dívidas dos usuários.
As posições alavancadas são liquidadas quando o saldo em dToken do usuário excede o saldo em eToken, e os liquidadores são incentivados a fazer a liquidação através de um desconto oferecido pelo protocolo para garantir uma operação sem grandes problemas.
De acordo com um relatório pós-morte do Omniscia, um dos auditores do Euler, o problema central é que a função de doação não inclui uma 'verificação de saúde' para garantir que o usuário permaneça com liquidez colateral após a doação.
Como resultado, o hacker conseguiu criar uma posição discreta e se liquidar usando outro contrato malicioso criado para esse fim
A empresa de segurança Peckshield ilustrou o ataque usando o mercado de DAI do Euler, que foi hackeado em $8.8M, como exemplo.
A taxa de conversão se refere ao desconto de liquidação, de no máximo de 25% neste caso devido à garantia extremamente baixa de liquidez colateral após a doação.
O hacker repetiu o mesmo processo para drenar os mercados stETH, WBTC e USDC, totalizando $197M.
O analista on-chain ZachXBT observou que o mesmo endereço havia atacado anteriormente um protocolo DeFi na BNB Smart Chain por $346.000 e usado o mixer de privacidade Tornado Cash para lavar esses fundos.
Empréstimos Instantâneos (Flash Loan)
Um empréstimo instantâneo é uma funcionalidade DeFi que permite aos usuários emprestar grandes quantias de dinheiro sem a necessidade de colateral. No entanto, o empréstimo deve ser pago dentro do mesmo bloco Ethereum.
Infelizmente, os ataques de empréstimos instantâneos são muito comuns em DeFi. Em outubro de 2021, outro protocolo, o Cream Finance, sofreu um hack flash loan de $130M.
Cabe lembrar, também, que hackers drenaram $3,2 bilhões de plataformas DeFi no ano passado através de uma variedade de ataques.
Consequências para o ecossistema DeFi
O Euler está amplamente integrado ao ecossistema DeFi devido a uma combinação de possuir uma boa reputação e oferecer incentivos de liquidez, o hack afetou muitos protocolos que depositaram fundos no Euler ou tinham exposição indireta.
A exchange descentralizada Balancer disse que a sua subDAO de emergência pausou todas as pools de liquidez que continham o Euler-boosted USD (bbeUSD), colocando o bbeUSD em modo de recuperação.
A equipe da Balancer disse que não há mais risco de perda, e acrescentou que os LPs do bbeUSD poderão sair de suas posições assim que a equipe do Euler esclarecer o ocorrido.
O protocolo Angle, emissor da stablecoin agEUR com paridade em euro, disse que estava exposto com cerca de $17,6M em USDC e lançou uma nota post-mortem.
O contrato inteligente em questão foi auditado pela Sherlock, que aprovou um pagamento de $4,5M do seu fundo de seguro.
"Notícias triste @eulerfinance, um cliente do protocolo Sherlock, foi hackeado hoje cedo em cerca de $200M.
Sherlock verificou a causa raiz, ajudou o Euler a apresentar uma reivindicação, realizou uma votação sobre a reivindicação de $4,5M (que foi aprovada) e efetuou o pagamento de $3,3M hoje."
Notas do Editor:
Aparentemente ainda há esperanças de que o protocolo Euler receba os fundos de volta (ainda que em partes). O protocolo lançou uma recompensa de 1 milhão de dólares para que usuários entreguem informações que possam levar à prisão do hacker e ao retorno dos fundos roubados.
Após isso, no dia 18 de março, o hacker devolveu 3.000 ETH ao endereço do protocolo, totalizando em mais de 5.4 milhões de dólares.
Contudo, até o momento esse é todo o valor devolvido.
Tem interesse em contribuir com o movimento Bankless no Brasil? Ficou com alguma dúvida depois de ler o artigo? Entre no nosso servidor do Discord e embarque também nessa jornada!
Este texto não é recomendação financeira ou fiscal. Este boletim informativo é estritamente educacional e não é um conselho de investimento ou uma solicitação para comprar ou vender quaisquer ativos ou para tomar quaisquer decisões financeiras. Este boletim informativo não é um conselho fiscal. Fale com seu contador. Faça sua própria pesquisa.
Parêntesis. Ocasionalmente, podemos adicionar links para produtos que usamos neste boletim informativo. Podemos receber comissão se você fizer uma compra através de um desses links. Sempre iremos divulgar quando for o caso.
📩 Se você tem interesse em divulgar um produto, serviço ou protocolo no Bankless Brasil, mande um email para: contato@banklessbr.com
 | A guest post by
|
 | A guest post by
|