Depois de uma pirataria que levou à perda de 200 milhões de dólares no mês passado, o Balancer foi novamente atacado, desta vez no frontend do protocolo. Que medidas devem ser tomadas
O protocolo DeFi Balancer sofre um hack no frontend
Há apenas um mês, o protocolo Balancer (BAL) da Decentralized Finance (DeFi) sofreu um grande hack de 200 milhões de dólares, resultando na perda de aproximadamente 20% do valor total bloqueado (TVL) na aplicação.
Hoje, o Balance está enfrentando um novo ataque, desta vez afetando o front-end do protocolo. Como resultado, as equipas do projeto pediram que o site não fosse utilizado até novo aviso:
O frontend do balanceador está a ser atacado. O problema está atualmente a ser investigado. Por favor, NÃO interaja com a interface do balanceador até novo aviso!
– Balancer (@Balancer) 19 de setembro de 2023
Ao contrário de um hack em contratos inteligentes, um ataque de frontend actuará de uma forma muito mais insidiosa. O primeiro tipo de ataque procura explorar uma falha no código-fonte de uma aplicação para desviar o dinheiro nela depositado. Os ataques front-end, por outro lado, visam a interface do utilizador.
A partir daí, podem ser previstas várias possibilidades. Uma possibilidade é tentar fazer com que as vítimas aprovem um contrato inteligente fraudulento, nomeadamente atacando o fornecedor do Sistema de Nomes de Domínio (DNS) para substituir um contrato inteligente legítimo por código malicioso.
O montante das perdas ainda não é claro
No momento em que este artigo foi escrito, as consequências deste ataque ainda não eram claras, embora este pareça muito mais comedido do que o do mês passado.
De acordo com a empresa de segurança de blockchain PeckShield, pelo menos o equivalente a $238.000 foi roubado:
PeckShieldAlert @Balancer informou que o seu frontend foi atacado, tendo sido roubados ~$238k de criptos https://t. co/aAaj0Xqery pic.twitter.com/YDIjfnNYM4
– PeckShieldAlert (@PeckShieldAlert) setembro 20, 2023
Além disso, uma parte do ETH roubado foi trocada por AVAX, que foi então enviada para um endereço de depósito na bolsa de criptomoedas MEXC.
Para as pessoas que pensam que podem ter aprovado um contrato inteligente fraudulento, seja no Balancer ou em outro lugar, é importante remover essas aprovações rapidamente, antes que elas levem a um potencial dreno de fundos. Para tal, podem ser utilizadas ferramentas como o revoke.cash, bem como as secções “Token Approvals” de exploradores de blockchain como o Etherscan ou o Polygonscan, dependendo da blockchain utilizada.
Para além do hack do mês anterior, a Balancer tinha também alertado para outro problema no início do ano, apelando aos seus utilizadores para retirarem certas liquidez dos pools.
O token BAL caiu 1.3% no momento em que este artigo foi escrito, a $ 3.29 cada. Desde o seu máximo histórico durante o último mercado em alta, o preço do ativo foi desvalorizado em mais de 95%.
