Protocolo bZx é novamente invadido, perdendo US$ 8 milhões em falha no código

Felizmente, os fundos perdidos não afetam diretamente os usuários, pois são assegurados por um fundo distinto (Imagem: Crypto Times)

O 💥️protocolo de 💥️empréstimos de finanças descentralizadas (💥️DeFi) 💥️bZx foi invadido novamente no domingo à noite (13) e perdeu mais de US$ 8 milhões devido a um código falho em seus contratos autônomos.

O 💥️código falho permitiu que o invasor duplicasse ativos ou aumentasse seu saldo em 💥️iTokens (💥️tokens de geração de juros no bZx). Horas após perceber a falha, bZx interrompeu a emissão e queima de iTokens e, em seguida, o tornou disponível após um conserto que corrigiu os saldos duplicados.

A falha permitiu que o hacker emitisse 219,2 mil tokens LINK (equivalentes a US$ 2,6 milhões), 4.503 💥️ETH (US$ 1,6 milhões), 1.756.351 💥️USDT (US$ 1,7 milhões), 1.412.048 💥️USDC (US$ 1,4 milhões) e 667.989 💥️DAI (US$ 680 mil), totalizando US$ 8,1 milhões.

bZx disse que nenhum fundo dos usuários está em risco, pois a perda está sendo coberta por seu fundo de seguros.

💥️Marc Thalen, principal engenheiro da 💥️Bitcoin.com, afirma ter sido o primeiro a 💥️identificar a falha. Ele disse que mais de US$ 200 milhões de fundos do bZx estavam em risco.

1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu

— Marc Thalen (@MarcThalen) September 14, 2023

O próprio Thalen testou a falha e criou um empréstimo usando USDC (US$ 100). “Com ele, obtive iUSDC. Em seguida, enviei para mim mesmo, praticamente duplicando os fundos. Depois, criei um pedido por US$ 200”, afirmou ele.

💥️Kyle Kistner, cofundador do bZx, contou ao 💥️The Block que “é difícil dizer” como essa falha “grave” não foi identificada pelas duas empresas de auditoria do protocolo, 💥️Peckshield e 💥️Certik. As empresas estão preparando uma análise sobre a principal causa, disse Kistner. 

Peckshield 💥️disse que “uma auditoria não pode garantir que serão encontrados todos os possíveis problemas”, enquanto Certik 💥️disse que “segurança é uma jornada”.

Agora, o protocolo foi invadido três vezes: duas em fevereiro, resultando em uma perda de uS$ 945 mil e, agora, de US$ 8 milhões (Imagem: Crypto Times)

Alguns especialistas da indústria 💥️querem que o bZx interrompa operações e audite novamente seu protocolo. Porém, Kistner disse ao The Block que auditores de segurança do bZx “não comentaram sobre tal ação”.

Thalen espera que haja um programa de caça a bugs (ou “bug bounty”) para o bZx. Kistner contou que ele receberá uma recompensa de S$ 12,5 mil — a média que três participantes sugeriram, já que Thalen relatou “um incidente contínuo que já estávamos investigando”.

Essa foi a terceira vez que bZx foi invadido este ano. Em fevereiro, o protocolo perdeu cerca de 💥️US$ 945 mil em dois ataques.

O ataque mais recente fez com que o valor total bloqueado (💥️TVL) no bZx despencasse 💥️70%, para apenas US$6,3 milhões. Kistner contou que “coisas mudam muito rápido no setor DeFi”, se referindo a uma possível recuperação.

Quando perguntado como o bZx planeja fortalecer a confiança de seus usuários em meio às invasões, Kistner disse: “queremos criar produtos e estruturas de incentivo tão atrativos que usuários são praticamente forçados a usarem, independente de como se sentem sobre nossa marca”.

✅💥️Empréstimos-relâmpago em invasões ao bZx
levantam críticas sobre o setor DeFi

O que você está lendo é [Protocolo bZx é novamente invadido, perdendo US$ 8 milhões em falha no código].Se você quiser saber mais detalhes, leia outros artigos deste site.