Protocolo Li Finance perde R$ 3 milhões em ataque – ESTOA

Protocolo Li Finance perde R$ 3 milhões em ataque


Advertisement


Advertisement


O protocolo Li Finance (LiFi) sofreu um ataque através da exploração de seu contrato inteligente. Realizado em 20 de março, o ataque levou à perda de cerca de US$ 600 mil (R$ 3 milhões). Cerca de 29 usuários tiveram suas carteiras afetadas pelo ataque.

Segundo o perfil oficial do LiFi no Twitter, o ataque ocorreu às 2h51 da manhã do dia 20 de março. Como o LiFi atua com empréstimos, o hacker conseguiu realizar “aprovações infinitas” de acesso. Dessa forma, ele conseguiu roubar quantias variadas de dez tokens diferentes:

  • USD Coin (USDC);
  • Polygon (MATIC);
  • Rocket Pool (RPL);
  • Gnosis (GNO);
  • Tether (USDT);
  • Metaverse Index (MVI);
  • Audius (AUDIO);
  • Aave (AAVE);
  • Jarvis Reward Token (JRT);
  • DAI (DAI).


Advertisement


Apenas 12 horas depois, às 14h15, foi que a equipe do LiFi descobriu o ataque. Todas as funções de negociação foram desligadas, visando evitar maiores perdas. No entanto, o hacker já tinha se apoderado dos dez tokens citados acima.

Hacker converteu tokens em ETH

Depois que os danos foram avaliados, a equipe do LiFi emitiu um comunicado às 2h50 da segunda-feira (21). Na explicação, a equipe confirmou o roubo dos US$ 600 mil nos dez tokens. Em seguida, segundo o comunicado, o invasor trocou todos os tokens por Ether (ETH).

Advertisement


Adicionalmente, a equipe também divulgou o endereço do invasor na rede Ethereum. De acordo com o Etherscan, a carteira contém cerca de 205 ETH. Ou seja, os fundos roubados não foram movidos até o momento da escrita deste texto.

Das 29 carteiras que foram atingidas neste ataque, 25 foram reembolsadas pelo LiFi. Contudo, as 25 carteiras tinham apenas US$ 80 mil (R$ 400 mil em valores atuais), 13% do valor roubado. Os donos das quatro carteiras restantes, que perderam R$ 2,4 milhões, foram contatados e receberam um acordo para compensá-los, honrando suas perdas como investidores-anjo no protocolo.

Advertisement


Nesse sentido, os usuários receberão tokens LiFi nos mesmos termos que outros investidores anjos em um valor igual às perdas de cada carteira. Isso também ajudaria a mitigar os danos ao tesouro da plataforma.

O hacker também foi contatado e recebeu uma recompensa para devolver os fundos. Ele não respondeu os pedidos do LiFi até o momento da escrita deste texto.

Advertisement


Timing ruim

O ataque parece ter vindo em um momento infeliz, de acordo com o CEO da Li Finance. Philipp Zentner disse que o protocolo finalizou o seu processo de auditoria recentemente. O resultado final sairia na próxima semana.

“Estamos literalmente a uma semana de nossa auditoria. Temos várias empresas nos auditando”, disse Zentner.

Será que a auditoria deixou passar um erro que causou este ataque? Não, de acordo com o pesquisador “Transmissions11” da empresa de investimento em criptomoedas Paradigm. Ele disse que o erro ocorrido no Li Finance é tão sutil que só poderia ser encontrado por quem estivesse procurando especificamente aquele problema.


Nesse sentido, o erro mostrou os riscos do mecanismo de aprovação ilimitada que é utilizado pelo Li Finance. Ele permite que os usuários troquem moedas em uma exchange descentralizada (DEX) um número ilimitado de vezes.

As transações subsequentes não precisam ser aprovadas, o que fornece mais rapidez e praticidade nas negociações. Em contrapartida, o usuário fica mais vulnerável a ataques como o que ocorreu no final de semana.