O protocolo Rubic de finanças descentralizadas (DeFi) entre cadeias foi comprometido, resultando em fundos armazenados nos endereços de seus usuários sendo desviados e transferidos para os hackers.
Em 25 de dezembro, o protocolo Rubic anunciou que um de seus contratos de roteamento foi comprometido e todos os contratos seriam interrompidos até que a situação fosse totalmente compreendida. O anúncio dizia:
Caros Rubicanos, Um dos nossos contratos de roteamento pode estar comprometido. Todos os contratos serão interrompidos até que entendamos totalmente a situação. Por favor, não use https://t.co/rDZSZrTUTe.Revoke https://t.co/F8QMpyd517 o mais rápido possível via https://t.co/hwLI2Cwkt1
– Rubic (@CryptoRubic) 25 de dezembro de 2022
Os criadores do protocolo também aconselharam seus usuários a revogar a autorização do contrato por meio da ferramenta revoke.cash. Um tópico no Twitter da empresa de segurança cibernética blockchain PeckShield explica que uma vulnerabilidade no protocolo Rubic levou a uma perda de US$ 1,41 milhão em fundos diretamente das carteiras que autorizaram seus contratos inteligentes.
Rubic @CryptoRubic é explorado (com ~$ 1,41 milhão) https://t.co/ckAfQr9kgm1,100 $ETH já em Tornado Cash do explorador https://t.co/yPkrC2hFCZ pic.twitter.com/25rLUcMbkf
-PeckShield Inc. (@peckshield) 25 de dezembro de 2022
O endereço do explorador recebeu os recursos da exchange descentralizada Uniswap (DEX) em transações envolvendo a stablecoin USD Coin (USDC). PeckShied explicou que o hack foi possível devido à adição incorreta de USDC aos roteadores suportados. Além disso, “a falta de validação no ruterCallNative” também permitiu o uso malicioso de contratos.
Uma rápida análise inteligente de contrato com a ajuda do chatGPT sugere que a função ruterCallNative contém inúmeras vulnerabilidades potenciais, incluindo entrada invalidada para os parâmetros “_params” e “_data”. Isso poderia permitir que um invasor transmitisse informações maliciosas que poderiam resultar em comportamento incorreto ou não intencional.
Além disso, o parâmetro “_gateway” passado para a função é irrestrito, permitindo potencialmente que um invasor crie um contrato e execute-o pelo contrato RubicProxy.
Na verdade, o invasor implantou um contrato inteligente personalizado que foi usado no ataque. O bytecode decodificado mostra as 337 linhas de código que permitiram ao invasor realizar o ataque da maneira mais eficiente possível.
O endereço do hacker recebeu primeiro uma transferência de 1.161,55 ethereum (ETH) e outra transferência de 26,88 ETH, ambas do protocolo Uniswap desviando exclusivamente USDC e trocando-o por ethereum embalado (WETH). Todo esse WETH foi posteriormente enviado a um misturador da rede e à entidade sancionada Tornado Cash para anonimizar os fundos obtidos de forma ilícita.
A análise on-chain mostra que US$ 1,45 milhão em transações recebidas enviadas para o serviço de anonimato de moedas originaram-se do endereço do hacker – em um valor total de entrada para o serviço de cerca de US$ 2,9 milhões. Ou seja, cerca de metade dos ativos enviados hoje ao misturador foram enviados pelo explorador.
As transferências recebidas do Tornado.Cash foram processadas em 25 de dezembro. O endereço do hacker está à direita. | Cortesia da Inteligência Arkham
Apesar dos fundos do hacker serem uma parcela tão significativa do volume de transações recebidas do serviço, o seu anonimato ainda é substancial. O depósito pode estar entre os saques de US$ 2 milhões do Tornado Cash processados hoje ou entre os US$ 174 milhões em ativos ainda depositados no contrato inteligente.
Tornado Cash é um protocolo DeFi agora ilegal que permite aos usuários realizar transferências anônimas no blockchain Ethereum. O protocolo usa provas de conhecimento zero (provas ZK) para ocultar os endereços de entrada e saída das transações. É difícil para terceiros determinar a identidade das partes envolvidas na transação ou a finalidade específica da transferência.
Tornado Cash é um projeto de código aberto construído sobre o blockchain Ethereum e acessível a qualquer pessoa com uma carteira Ethereum. Os usuários podem interagir com o contrato Tornado Cash usando sua carteira Ethereum ou uma interface web ainda disponível através do serviço de hospedagem descentralizado InterPlanetary File System (IPFS). Eles podem realizar transferências anônimas de ETH ou tokens compatíveis com o padrão ERC-20, enviando seus fundos para o contrato Tornado Cash e retirando-os para um novo endereço.
A notícia segue relatos recentes de que hackers norte-coreanos roubaram cerca de US$ 1,2 bilhão em criptomoedas e outros ativos virtuais nos últimos cinco anos. A maioria desses hacks aconteceu somente em 2021.
