Terceiro hack em menos de duas semanas para pontes de cadeia cruzada. Desta vez, é o Meter Passport, a ponte do Meter, que foi explorada ao som de 4,3 milhões de dólares, na sequência de uma falha no seu código. Isto também causou uma depreciação no valor da NBB no Moonriver, permitindo aos utilizadores fazer empréstimos mais baratos.
Ponte do medidor hackeada
Meter Passport, a ponte do sidechain Meter, sofreu um hack de 4,3 milhões de dólares no dia 5 de Fevereiro por volta das 15h00. A exploração envolve o contrato inteligente Moonriver, que é baseado em Kusama, o testador de cadeia de blocos Polkadot.
Comunidade, apreciamos realmente a paciência e o apoio de todos enquanto trabalhamos para voltar a funcionar após a exploração desta manhã.
Detalhámos tudo no tópico abaixo:
– ⚡️Meter.io⚡️ (@Meter_IO) 5 de Fevereiro de 2022
De acordo com o relatório técnico do ataque de Certik, uma empresa especializada em segurança de cadeias de bloqueio, o hacker roubou mais de $4,2 milhões em ETH e $83.000 em wBTC (wrapped bitcoin).
Alegadamente, conseguiu introduzir código malicioso numa função de depósito em ponte, fazendo com que parecesse que tinha depositado wETH (enrolado éter), antes de o utilizar para cunhar BNB e wETH fichas para revenda no SushiSwap.
Para cobrir as suas pistas, o hacker enviou então o seu saque no Tornado Cash, um protocolo que permite misturar fichas para as tornar indetectáveis.
NBB desvalorização no condutor da lua
Mas o problema infelizmente não pára com o hack em si. O hacker tendo revendido os seus BNBs roubados na troca do SushiSwap, isto fez com que o preço da ficha caísse em 77% no Moonriver.
Como resultado, os utilizadores aproveitaram a situação para comprar NBBs a um preço mais baixo no protocolo Hundred Finance e depois utilizá-los como garantia para contrair MIMs, FRAXs ou ETHs.
A equipa da Hundred Finance solicitou publicamente que aqueles que tiraram partido da violação devolvessem os seus fundos de modo a não penalizar toda a comunidade.
2/4. As contas puderam adquirir o BNB.bsc a um preço reduzido e utilizar estes tokens como garantia ao preço global Chainlink para emprestar activos não comprometidos na nossa plataforma. Destes, MIM e FRAX são actualmente impactados.
– Hundred Finance (@HundredFinance) Fevereiro 6, 2022
No momento da redacção, os empréstimos ETH foram devolvidos na sua totalidade. No entanto, a plataforma continua a registar um défice de 3,3 milhões de dólares.
Contudo, Meter reconheceu que é responsável pela situação e está empenhado em reembolsar a Hundred Finance:
Meter aceitou naturalmente a responsabilidade pelo hack e pretende usar a sua ficha nativa [MTRG] para reembolso sempre que possível. Estamos actualmente a recolher os vários endereços e o montante correspondente para cada um”. – Vfat, o fundador da Hundred Finance, numa declaração à Rekt News.
Pontes de cadeia cruzada em apuros
Apesar deste golpe, o Meter foi capaz de reagir rapidamente e anunciou que tinha compensado o défice causado pelo hack através da reinjecção de fichas BNB e wETH na sua própria plataforma, a fim de restaurar a relação original de 1:1.
Contudo, este é o terceiro hack-ponte no espaço de duas semanas, e mais importante, envolve três processos muito semelhantes. De facto, como noticiámos a 28 de Janeiro, a ponte da Qubit Finance tinha sofrido uma exploração de 80 milhões de dólares.
Menos de uma semana depois, foi a vez do protocolo Wormhole ser roubado de 320 milhões de dólares sob a forma de WETH, constituindo assim um dos maiores ataques alguma vez observados no mundo das finanças descentralizadas.
O ano 2022 está, portanto, a ter um início bastante doloroso para pontes em cadeia, que provavelmente terão de redobrar os seus esforços para (re)ganhar a confiança dos utilizadores.
