A exchange de criptomoedas Level Finance foi hackeada após duas auditorias de segurança
3 de Maio de 2023

Hackers exploraram uma vulnerabilidade do contrato inteligente da Level Finance para drenar 214.000 tokens LVL da exchange descentralizada e trocá-los por 3.345 BNB, no valor aproximado de US$1.100.000.

Embora a Level Finance tenha afirmado que o ataque não afetou o pool de liquidez e o tesouro do DAO, e que a exploração estava isolada de todos os outros contratos, o token LVL perdeu cerca de 50% de seu valor imediatamente após o ataque ser divulgado.

A empresa prometeu fornecer atualizações sobre a situação assim que a investigação revelar mais informações.

O DAO lançou uma proposta pedindo votos sobre como a comunidade deve lidar com os 214.000 tokens LVL adicionados à circulação pelo ataque.

A empresa de segurança em blockchain e análise de dados PeckShield explicou que o contrato inteligente violado, 'LevelReferralControllerV2', tinha um bug lógico na função claimMultiple que permitia aos usuários reivindicar repetidamente recompensas de indicação dentro do mesmo período.

O auditor de contrato inteligente BlockSec chegou à mesma conclusão, acrescentando que o hacker tentou explorar a falha várias vezes desde a semana passada e falhou.

"Especificamente, a recompensa de reivindicação foi determinada pelo nível de indicação e pontos de recompensa, portanto, o atacante fez a seguinte preparação: 1) criando e configurando muitas indicações; 2) usando flashloan para executar dezenas de trocas (a recompensa foi atualizada na função postSwap)", explicou o BlockSec no Twitter.

O atacante criou várias contas de indicação para maximizar as recompensas que poderia obter explorando o bug do contrato inteligente.

Flashloans (empréstimo e devolução em uma única transação) foram usados para ampliar ainda mais as recompensas de indicação, permitindo que o atacante realizasse dezenas de trocas de um token para outro, recebendo uma recompensa pela ação a cada vez.

Eventualmente, o atacante executou os passos corretos ontem e lançou o hack que lhe rendeu US$1,1 milhão.

Embora a Level Finance tenha feito o seu melhor para proteger os ativos, encomendando duas auditorias de empresas independentes, o hacker ainda encontrou uma maneira de explorar o código para roubar dinheiro usando falhas não detectadas.

No entanto, embora a Level Finance tenha sido auditada duas vezes em 2023, não está claro se a função vulnerável foi auditada ou adicionada posteriormente.

As auditorias de segurança não são à prova de falhas nem devem ser tratadas como uma garantia de segurança, como vimos várias vezes no passado.

Na semana passada, a DEX Merlin foi comprometida devido a uma "falha importante na integridade estrutural e controles da plataforma", perdendo US$1,82 milhão que insiders mal-intencionados drenaram do seu pool de liquidez.

Isso ocorreu apenas alguns dias depois de a DEX Merlin anunciar uma auditoria bem-sucedida pela empresa de segurança em blockchain CertiK.

No ano passado, a plataforma de música descentralizada Audius perdeu tokens no valor de US$6 milhões depois que um atacante explorou uma falha em um sistema que havia passado por duas avaliações de segurança detalhadas de auditores separados desde a sua introdução.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...