Prezada Nação Bankless,

No artigo de hoje, apresentamos a tradução dos artigos Most DeFi Protocols Fade After They’re Hacked, Analysis Shows e Unknown Exploit Has Drained Over $10M In The Past Five Months, originalmente publicados em The Defiant. 

Segurança sempre é um assunto bem delicado no universo cripto, e muitos ainda não tem conhecimento das melhores práticas de segurança possíveis na web3. Por isso, no nosso Circuito Bankless, iremos te ensinar isso!

Quer saber mais? Clica aqui!

Você pode assinar a newsletter gratuita do The Defiant por este link.

Se quiser acompanhar o The Defiant em português, inscreva-se na newsletter brasileira:

Inscreva-se

— Nação Bankless

Análise mostra que a maioria dos protocolos DeFi desaparecem após serem hackeados

O valor total bloqueado (TVL) nos protocolos DeFi hackeados cai mais de 90% e não consegue se recuperar.

Euler Finance, um protocolo de empréstimo que sofreu um hack de $200 milhões no mês passado, esta enfrentando uma batalha difícil.

Depois de recuperar milagrosamente quase todos os fundos perdidos, a pergunta é: Euler pode se recuperar do ataque? Dados sobre os cinco principais hacks de protocolos DeFi indicam que não.

Uma pesquisa dos cinco principais hacks em termos de dólares mostra que o valor total bloqueado de cada protocolo diminuiu em pelo menos 96% desde que foi hackeado. O TVL geral DeFi (finanças descentralizadas) diminuiu significativamente menos em relação à perda de TVL de cada protocolo desde cada ataque, sugerindo que não são apenas os preços dos ativos depreciados que são responsáveis pelas quedas.

Para focar em hacks DeFi em nossa pesquisa, excluímos bridges, que permitem transferências entre diferentes blockchains, e CEX (exchanges centralizadas). Também excluímos exploits e bugs que não resultaram na perda de fundos dos usuários.

Dias difíceis

No caso da Euler Finance, o hack DeFi mais recente e importante, o token do projeto caiu cerca de 28% desde o anúncio de uma recuperação bem-sucedida em 3 de abril, sugerindo que os investidores ainda não estão animados com as chances do projeto. Também houve uma rotatividade de pessoal, com o chefe de risco da Euler renunciando em 19 de abril.

Michael Bentley, co-fundador e CEO da Euler Labs, a empresa por trás do protocolo, chamou os dias após o hack de "os mais difíceis de sua vida" no Twitter. Em um acompanhamento com o The Defiant, ele disse que a saída do chefe de risco da Euler não estava diretamente relacionada ao hack.

Flash Loans e Manipulações de Preço

Em cada hack, é claro, as circunstâncias foram diferentes. O hack da Beanstalk envolveu um tipo de empréstimo ultracurto chamado flash loan, seguido por um ataque de governança.

O ataque à CREAM Finance, que também usou um flash loan, envolveu manipulação do protocolo para que parecesse que o atacante controlava quase US$3 bilhões em ativos, de acordo com uma análise da Rekt. Como a CREAM é um protocolo de empréstimo, o atacante foi capaz de depositar parte desses US$3 bilhões como garantia e drenar toda a capacidade de empréstimo da CREAM.

O ataque à BonqDAO envolveu manipulação de um feed de preço, para que o protocolo pensasse que o hacker tinha mais tokens do que realmente tinha.

O BadgerDAO, um protocolo DeFi focado em Bitcoin, foi vítima de um ataque de phishing que permitiu ao hacker colocar um código malicioso em sua interface. O trader Avraham Eisenberg inflou o valor do token $MNGO da Mango Markets e, usando o ativo como garantia, obteve permanentemente os ativos emprestados.

Os tokens da CREAM Finance, BadgerDAO e Mango Markets, para os quais os dados de preços estão disponíveis, também caíram 50% ou mais desde o hack de cada protocolo.

Impacto na Reputação

A lição que fica é que voltar de hacks, mesmo após o período inicial de correção da vulnerabilidade, é historicamente difícil. O impacto na reputação que um protocolo sofre é particularmente difícil de superar em DeFi, onde os usuários podem já estar desconfiados sobre interagir com um setor cheio de exploits e golpes.

BraveNewDeFi, o líder de marketing pseudônimo da Nexus Mutual, um protocolo de seguros, disse ao The Defiant que o impacto na reputação do projeto depende do tamanho do ataque. "Quanto maior o exploit, maior o impacto na reputação e confiança", eles disseram. "Uma vez que isso se foi, é quase impossível reconquistar a confiança dos usuários".

O líder de marketing também disse que pagar os usuários rapidamente, em vez de eventualmente, ajuda um projeto a se manter viável.

A confiança no projeto é prejudicada mesmo que a equipe permaneça e continue a construir.

Esse é o caso do BadgerDAO, que continuou a desenvolver novos produtos de cofre, refinou processos de governança, além de uma série de propostas de governança dedicadas à recuperação após o hack. Mas o protocolo ainda tem lutado para atrair novos depósitos.

Outros, como Uranium Finance, que sofreu um hack de $57M em 2021, fecharam completamente — o projeto não se comunicou publicamente desde o ataque.

Exceção do Thorchain

Thorchain, um protocolo que permite trocas entre blockchains, se destaca como relativamente resiliente entre os projetos explorados. Atacantes atingiram a troca entre blockchains com dois hacks, um de US$ 8 milhões e outro de US$ 5 milhões em julho de 2021.

Embora o TVL (total de valor bloqueado) da Thorchain tenha caído cerca de 56% para US$ 78 milhões desde os ataques, o TVL geral de DeFi caiu 44% nesse período. Isso se compara com perdas de mais de 90% nos depósitos dos maiores hacks.

A relativa durabilidade da Thorchain sugere que, embora a maioria dos navios DeFi possam afundar, alguns podem resistir a uma tempestade - ou a um ataque de piratas. Após um esforço bem-sucedido de recuperação, talvez a Euler possa ser um dos últimos.

Hack Desconhecido Drenou Mais de $10 Milhões Nos Últimos Cinco Meses

Suposto Hack de Carteiras Atinge Veteranos Cripto

Um sofisticado hack de carteiras roubou mais de $10 milhões em ativos desde dezembro de 2022 em 11 blockchains diferentes.

De acordo com a fundadora e CEO da MyCrypto, Taylor Monahan, o hack parece mirar usuários experientes que criaram suas carteiras entre 2014 e 2022.

No entanto, a razão do ataque ainda não foi determinada. A MetaMask, a principal provedora de carteiras, disse que sua equipe de segurança está trabalhando em conjunto com outras provedoras de carteiras para descobrir a fonte do hack.

Monahan incentiva os usuários da Web3 a permanecerem vigilantes e a evitar manter todos os seus ativos em carteiras protegidas pela mesma seed phrase.

Padrão do Hack

O hacker trocou os tokens dos usuários por ETH, direcionando as negociações através da MetaMask Swap, Uniswap ou 0x.

Eles geralmente não roubam NFTs, ativos em stake e outros tokens de baixa capitalização. No entanto, em alguns casos, os ativos restantes foram roubados mais tarde.

Usuários com pequenas quantidades em redes compatíveis com Ethereum teriam seus ativos transferidos e movidos assim que o hacker tivesse coletado ETH suficiente para pagar as taxas de gás. Os ativos seriam então convertidos para Bitcoin usando serviços como FixedFloat, SideShift e SimpleSwap.

Dentro de uma semana após a conversão, os ativos seriam executados por um misturador de privacidade de Bitcoin, como Coinomize, Wasabi ou CryptoMixer.

Monahan concluiu dizendo que o hack não é específico da MetaMask e que todas as carteiras, incluindo as carteiras de hardware, são afetadas por esse hack ativo e desconhecido.

Em 16 de abril, a empresa de segurança SlowMist disse que está investigando o problema depois que um usuário relatou que seus tokens LQTY foram roubados em novembro de 2022.

Hack em Criptomoedas

Os hacks são uma grande preocupação para os usuários da Web3, já que geralmente há pouco ou nenhum recurso depois que um usuário perde seus fundos.

Em 14 de março, a Euler Finance sofreu um hack de $200 milhões, embora o protocolo tenha sido capaz de recuperar a maioria dos ativos roubados mais tarde.

E ontem, a fornecedora de antivírus Kaspersky revelou uma falha crítica em dispositivos Apple, que poderia potencialmente roubar fundos de carteiras de criptomoedas.

Em 2022, investidores de criptomoedas perderam impressionantes $3,2 bilhões para fraudes e explorações.

Tem interesse em contribuir com o movimento Bankless no Brasil? Ficou com alguma dúvida depois de ler o artigo? Entre no nosso servidor do Discord e embarque também nessa jornada!

Este texto não é recomendação financeira ou fiscal. Este boletim informativo é estritamente educacional e não é um conselho de investimento ou uma solicitação para comprar ou vender quaisquer ativos ou para tomar quaisquer decisões financeiras. Este boletim informativo não é um conselho fiscal. Fale com seu contador. Faça sua própria pesquisa.

Parêntesis. Ocasionalmente, podemos adicionar links para produtos que usamos neste boletim informativo. Podemos receber comissão se você fizer uma compra através de um desses links. Sempre iremos divulgar quando for o caso.

📩 Se você tem interesse em divulgar um produto, serviço ou protocolo no Bankless Brasil, mande um email para: contato@banklessbr.com