Hacker financeiro: Ataque e posterior acordo com explorador da Mango DAO causa apreensão entre aplicações DeFi
Criminosos estão aproveitando a interconexão de diferentes plataformas DeFi, bem como a falta de verificações de crédito e outros controles de segurança usados nas finanças tradicionais As finanças descentralizadas (DeFi), segmento que já foi visto como de maior potencial no universo dos criptoativos e que esteve no centro do colapso deste ano dos ativos digitais, está enfrentando um novo desafio cada vez maior: ataques hackers financeiro.
Depois de ser atormentado por anos por ataques que buscam explorar falhas de codificação para desviar fundos de projetos de criptoativos, os hackers agora estão usando os programas de software automatizados que alimentam as plataformas DeFi para manipular transações com o objetivo de obter o controle de milhões de dólares em ativos bloqueados em vários protocolos que permitem que os usuários tomem emprestado e cedam recursos para empréstimo sem intermediários.
No fim de semana passado, o aplicativo DeFi Mango DAO concordou em permitir que um trader autoproclamado mantenha quase metade dos US$ 100 milhões em ativos que ele apreendeu em troca da liberação do restante dos fundos, sem responder a um processo criminal.
A técnica usada pelo hacker do Mango foi ligada a outros ataques de alto perfil. A Harvest Finance perdeu US$ 34 milhões em 2020, enquanto o Beanstalk foi atingido por um ataque de US$ 182 milhões em abril. Na terça-feira, a plataforma de crédito descentralizada Moola Market sofreu um ataque de US$ 9 milhões.
A tendência crescente parece cair em uma área cinzenta legal, colocando a indústria em uma encruzilhada. Transgressores e outros entusiastas de criptomoedas consideram essas manobras, como escreveu o explorador da Mango, “uma estratégia de negociação lucrativa”. Isso está levando os participantes do setor a pedir maior clareza regulatória para coibir a prática, o que corre o risco de corroer ainda mais a confiança dos investidores, já que o setor de blockchain enfrenta uma forte desaceleração do mercado. Outros estão chamando isso de uma manipulação financeira.
“Estamos dirigindo carros sem cinto de segurança agora”, disse Ken Deeter, sócio da Electric Capital, uma gestora de venture capital que investiu em empresas como a exchange de ativos digitais Kraken e o marketplace de tokens não fungíveis Magic Eden.
‘Hackeamento Financeiro’
O hacker do Mango usou duas contas com recursos da stablecoin USD Coin para assumir grandes posições em swaps perpétuos da Mango, que são futuros que permitem que os traders mantenham uma posição em aberto. Isso ajudou a aumentar o preço à vista do token, o que permitiu ao hacker usar a posição agora mais valiosa como garantia para empréstimos que drenaram cerca de US$ 100 milhões do protocolo, deixando os depositantes sem nada.
“Isso é diferente dos ataques de código que normalmente vimos este ano em hacks de serviços DeFi, e não é algo que medidas de segurança maiores podem impedir”, disse Erin Plante, vice-presidente de investigações da empresa de segurança criptográfica Chainalysis.
O incidente equivale a um “hacking financeiro”, um fenômeno exclusivo da criptomoeda, de acordo com Steve Walbroehl, cofundador e diretor de segurança da informação da Halborn, uma startup de segurança de blockchain. Nesses cenários, os criminosos estão aproveitando a interconexão de diferentes plataformas DeFi, bem como a falta de verificações de crédito e outros controles de segurança usados nas finanças tradicionais. Eles então subvertem o mercado para seu próprio benefício.
“Todo esse sistema financeiro aberto de serviço democratizado e de acesso a financiamento é ótimo, mas também abre vulnerabilidades para que seja usado como arma contra si mesmo”, disse Walbroehl.
A decisão de Mango só pareceu encorajar o suposto hacker autodeclarado, que atende por Avraham Eisenberg no Twitter. Poucos dias depois que a Mango chegou ao acordo, ele começou a divulgar estratégias semelhantes para uso na plataforma de empréstimos Aave. Eisenberg se recusou a confirmar sua identidade quando contatado pela Bloomberg News.
Initial plugin text
Chris Tarbell, cofundador da empresa de segurança cibernética NAXO, disse que Aave deveria considerar o tweet como uma ameaça. “Não é um crime passível de prisão – nenhuma ameaça de dano corporal, mas se eu fosse desta empresa, certamente ficaria preocupado. Isso é usar as fraquezas do sistema a seu favor.”
Tarbell, que também é ex-agente especial do FBI (Federal Bureau of Investigation) e ajudou a prender o notório hacker de criptomoedas e operador de sites da darknet Ross Ulbricht, disse que os ataques como o do Mango são ilegais.
“Alguém detém US$ 150 milhões que não são de sua propriedade e usa sua própria propriedade contra você – para mim isso é um crime”, disse Tarbell.
Na quarta-feira, a conta de Eisenberg alegou que eles haviam sido informados de que Aave “está perfeitamente segura”. Eles forneceram sua estratégia de negociação em uma captura de tela de mensagem de texto, que forneceu um manual semelhante ao ataque da Mango.
Initial plugin text
Tarbell disse que os tuítes de Eisenberg mostram que o hacker talvez anseie por admiração. “Alguém que entra e comete um assalto a banco, raramente tira a máscara”, disse ele. “Esse cara tira a máscara.”
–Com a ajuda de Emily Nicolle e Philip Lagerkranser.