Hackers exploraram uma vulnerabilidade do contrato inteligente da Level Finance para drenar 214.000 tokens LVL da exchange descentralizada e trocá-los por 3.345 BNB, no valor aproximado de US$1.100.000.
Embora a Level Finance tenha afirmado que o ataque não afetou o pool de liquidez e o tesouro do DAO, e que a exploração estava isolada de todos os outros contratos, o token LVL perdeu cerca de 50% de seu valor imediatamente após o ataque ser divulgado.
A empresa prometeu fornecer atualizações sobre a situação assim que a investigação revelar mais informações.
O DAO lançou uma proposta pedindo votos sobre como a comunidade deve lidar com os 214.000 tokens LVL adicionados à circulação pelo ataque.
A empresa de segurança em blockchain e análise de dados PeckShield explicou que o contrato inteligente violado, 'LevelReferralControllerV2', tinha um bug lógico na função claimMultiple que permitia aos usuários reivindicar repetidamente recompensas de indicação dentro do mesmo período.
O auditor de contrato inteligente BlockSec chegou à mesma conclusão, acrescentando que o hacker tentou explorar a falha várias vezes desde a semana passada e falhou.
"Especificamente, a recompensa de reivindicação foi determinada pelo nível de indicação e pontos de recompensa, portanto, o atacante fez a seguinte preparação: 1) criando e configurando muitas indicações; 2) usando flashloan para executar dezenas de trocas (a recompensa foi atualizada na função postSwap)", explicou o BlockSec no Twitter.
O atacante criou várias contas de indicação para maximizar as recompensas que poderia obter explorando o bug do contrato inteligente.
Flashloans (empréstimo e devolução em uma única transação) foram usados para ampliar ainda mais as recompensas de indicação, permitindo que o atacante realizasse dezenas de trocas de um token para outro, recebendo uma recompensa pela ação a cada vez.
Eventualmente, o atacante executou os passos corretos ontem e lançou o hack que lhe rendeu US$1,1 milhão.
Embora a Level Finance tenha feito o seu melhor para proteger os ativos, encomendando duas auditorias de empresas independentes, o hacker ainda encontrou uma maneira de explorar o código para roubar dinheiro usando falhas não detectadas.
No entanto, embora a Level Finance tenha sido auditada duas vezes em 2023, não está claro se a função vulnerável foi auditada ou adicionada posteriormente.
As auditorias de segurança não são à prova de falhas nem devem ser tratadas como uma garantia de segurança, como vimos várias vezes no passado.
Na semana passada, a DEX Merlin foi comprometida devido a uma "falha importante na integridade estrutural e controles da plataforma", perdendo US$1,82 milhão que insiders mal-intencionados drenaram do seu pool de liquidez.
Isso ocorreu apenas alguns dias depois de a DEX Merlin anunciar uma auditoria bem-sucedida pela empresa de segurança em blockchain CertiK.
No ano passado, a plataforma de música descentralizada Audius perdeu tokens no valor de US$6 milhões depois que um atacante explorou uma falha em um sistema que havia passado por duas avaliações de segurança detalhadas de auditores separados desde a sua introdução.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...