A plataforma de finanças descentralizadas (DeFi) Cream Finance foi vítima de um ataque nesta segunda-feira (30). De acordo com o Twitter oficial do projeto, o invasor fugiu com mais de 418 milhões em tokens, ou cerca de R$ 125 milhões na cotação atual.
A grande maioria dos tokens (418 milhões) foram de tokens AMP, nativos da Flexa Network. Mas os invasores também levaram 1.308 Ether (ETH).
O Cream Finance foi vítima de um ataque de flash loan, ou empréstimo relâmpago. Nesse tipo de ataque, o invasor geralmente utiliza utiliza manipulação para causar quedas no preço. Contudo, também é possível utilizá-lo para desviar fundos de projetos.
No ataque ao Cream Finance, o hacker conseguiu fazer um empréstimo de 500 Ethereum que foi usado para explorar um “bug de reentrada” encontrado no contrato inteligente Flexa Network. Com isso, ele conseguiu explorar a falha e obter os fundos.
Duas horas após o ataque, a plataforma de segurança Peck Shield identificou um endereço que teria recebido parte dos fundos. De acordo com o Etherscan, a carteira possui cerca de US$ 18,2 milhões, ou R$ 94,6 milhões na cotação atual.
“O hacker realizou esse processo 17 transações diferentes e obteve no total 5,98 mil ETHs (R$ 94,6 milhões). Os fundos ainda estão estacionados no endereço abaixo. Estamos monitorando ativamente este endereço para qualquer movimento”, disse a Peck Shield.
Este é o segundo ataque envolvendo o Cream Finance em 2021. O primeiro ocorreu em fevereiro, quando o protocolo foi vítima de uma falha no Alpha Finance. Na ocasião, a falha acabou resultando na perda de US$ 37,5 milhões, ou R$ 195 milhões na cotação atual.
A tecnologia DeFi prometeu trazer acesso a serviços financeiros descentralizados e sem intermediários. No entanto, as notícias a respeito de ataques hackers se acumulam quase toda semana e ofuscam essas vantagens. De acordo com um estudo da empresa de análise CipherTrace, US$ 474 milhões já foram perdidos por meio fraudes e ataques a protocolos.
Boa parte desses ataques são motivados por falhas nos sistemas de empréstimos. Outras, como o caso da Poly Network, envolveram falhas nos protocolos em si.
“O cerne do problema não está nas plataformas que oferecem empréstimos instantâneos, mas nos contratos inteligentes não auditados para os quais os empréstimos são enviados e explorados”, alertou a CipherTrace.
Luciano Rocha