O hacker cunhou fichas extra e vendeu-as com lucro antes de reduzir o preço da ficha a zero.
É raro que os ladrões deixem o seu saque quando escapam, mas um hacker fez precisamente isso depois de roubar mais de $1 milhão de dólares do protocolo DeFi Zeed.
O hacker explorou uma vulnerabilidade no projecto DeFi para roubar mais de $1 milhão e depois fechou-o num contrato de autodestruição, tornando impossível a qualquer pessoa recuperar os fundos roubados.
Zeed perde $1M
Blockchain empresa de segurança, BlockSec detectou pela primeira vez o ataque ao protocolo Zeed e partilhou-o por volta das 20 horas UTC no dia 21 de Abril.
1/ E se as recompensas podem ser triplicadas?
O nosso sistema detectou uma transacção de ataque(https://t.co/xk8Tet2o0Q) que explorou a vulnerabilidade da distribuição de recompensas no ZEED em BSC@zeedcommunity @defiprime
– BlockSec (@BlockSecTeam) 21 de Abril de 2022
O hacker aproveitou o mecanismo de distribuição de recompensas no protocolo de empréstimo DeFi, que se descreve a si próprio como um “ecossistema financeiro integrado descentralizado”.
A vulnerabilidade permitiu ao hacker cunhar fichas extra e vendê-las, fazendo assim descer o preço da ficha a zero e compensando cerca de $1 milhão do roubo.
Fonte: Peckshield
O hacker enviou então o cripto roubado para um “contrato de ataque” – um contrato inteligente capaz de executar a exploração encontrada rápida e automaticamente.
Por uma razão conhecida apenas pelo hacker, o contrato de ataque era para se autodestruir antes de ele mover os fundos roubados. Uma vez que o contrato é irreversível, é impossível recuperar os fundos.
Um scanner de cadeia de bloqueio revelou que o contrato de ataque continha $1.041.237,57 no valor de BSC-USD. A sua destruição bem sucedida aconteceu às 7:15 UTC do dia 21 de Abril.
A partir da hora de imprensa, o protocolo Zeed ainda tem de divulgar um comentário ou actualização sobre o hack.
A prevalência de explorações e hackers em criptografia continua a ser uma fonte de preocupação à medida que os hackers melhoram constantemente os seus métodos. Só no primeiro trimestre do ano, mais de mil milhões de dólares de fundos foram roubados, incluindo mais de 600 milhões de dólares de exploração do Axie Infinity.
Os utilizadores parecem estar no final da recepção destes roubos, uma vez que nem todos os projectos oferecem reembolsos. Além disso, uma exploração poderia afectar o roteiro do projecto a longo prazo, uma vez que corrói a confiança dos investidores no projecto.
