Um bug no protocolo DeFi xToken foi explorado nesta quarta-feira (12), resultando na perda de cerca de R$130 milhões em tokens.
A entidade por trás do ataque utilizou flash loans (empréstimos instantâneos) para roubar uma série de tokens e já vendeu a maioria dos tokens por ethers (ETH).
O xToken tem oito tokens, como xSNXa e xBNTa, que oferecem exposição aos retornos de projetos DeFi. Eles vêm na forma de tokens baseados em Ethereum que são atrelados a certos tokens do segmento de finanças descentralizadas, como SNX e BNT. Eles oferecem alguns dos mesmos benefícios do token subjacente, como recompensas de staking, mas sem ter que deixar o ecossistema Ethereum.
Os flash loans são empréstimos baseados em blockchain, por meio dos quais uma quantidade de criptomoeda é emprestada e reembolsada na mesma transação. Eles podem ser usados para obter acesso a grandes quantidades de capital a uma taxa barata porque a criptomoeda é reembolsada instantaneamente (e se a transação não for concluída, o dinheiro nunca foi emprestado em primeiro lugar).
Mas como o ataque aconteceu?
O atacante explorou duas vulnerabilidades, ambas visando tokens no ecossistema xToken.
Em primeiro lugar, a entidade responsável usou um flash loan para fazer um empréstimo de 61.800 ETH (R$ 1,4 bilhão). Eles o usaram para manipular o oráculo da Rede Kyber – que conecta seu blockchain a dados do mundo real – para cunhar muitos tokens xSNXa, que foram então vendidos por ether e Synthetix (SNX).
Em segundo lugar, eles encontraram uma fraqueza no contrato xBNTa. Como um token “lastreado” em BNT, esse token só deve ser criado usando tokens BNT. O contrato, porém, falhou em verificar isso. Assim, eles puderam usar um token diferente para cunhar esses tokens xBNTa, e depois venderam.
Como Igor Igamberdiev do The Block Research observou: “O usuário foi inteligente o suficiente (ou próximo o suficiente deste projeto) para usar duas vulnerabilidades diferentes para dois tokens deste projeto.”
O atacante fugiu com 2.400 ETH (R$ 54 milhões), 781.000 BNT (R$ 32 milhões), 407.000 SNX (R$ 42 milhões) e 1,9 bilhões de tokens xBNTa. Todos os tokens já foram vendidos, exceto o xBNTa, por um total de 5.600 ether (R$ 130 milhões).
O invasor pagou 5 ETH (115 mil reais) em taxas para realizar o ataque. A taxa era alta porque as taxas de transação do Ethereum são baseadas na complexidade da transação – e esta foi uma transação muito grande.
O xToken reconheceu o hack e prometeu informações adicionais sobre o incidente, tuitando: “Devemos uma explicação à comunidade e forneceremos outra atualização em breve.” O acontecimento reforça os riscos de bugs ao investir em criptomoedas.
Veja também: Massacre do Shiba Inu: traders perdem R$240 milhões no primeiro dia de futuros do SHIB