Em uma entrevista exclusiva ao crypto.news, o pseudônimo hacker de chapéu branco conhecido como Trust compartilhou detalhes cruciais sobre um hack recente que se aproveitou de uma vulnerabilidade no contrato RouteProcessor2.
A Trust conseguiu economizar uma quantidade significativa de fundos dos usuários realizando um hack preventivo em 10 de abril nos fundos mantidos por Sifu, apenas para devolver esses fundos depois de movê-los para um local seguro.
Infelizmente, os agentes maliciosos conseguiram imitar o ataque e explorar a vulnerabilidade contra outros detentores.
SushiSwap atingido por ataque avançado
A Trust explicou que o contrato RouteProcessor2, implantado há apenas quatro dias, foi projetado para supervisionar vários tipos de swaps de token SushiSwap (SUSHI). Os usuários pré-aprovam o contrato para gastar seus tokens ERC20 e, em seguida, chamam a função swap() para executar o swap.
No entanto, o contrato interage com os pools UniswapV3 de maneira insegura, pois confia completamente no endereço do “pool” fornecido pelo usuário.
A supervisão permite que um pool ruim forneça informações falsas ao contrato sobre a origem e o valor de uma transferência, permitindo que qualquer usuário falsifique uma troca e obtenha acesso ao valor total aprovado de outro usuário.
Você também pode gostar: Veja como os bots MEV no SushiSwap causaram uma perda de US$ 3,3 milhões
A Trust declarou que essa vulnerabilidade deveria ter sido detectada por qualquer empresa de auditoria razoável, levantando preocupações sobre a maturidade da base de código de produção.
O hacker também mencionou a presença de bots altamente sofisticados que replicavam suas transações de economia de fundos para roubar ativos, enfatizando os amplos recursos e capacidades desses bots, conhecidos como bots de valor extraível de mineração (MEV).
A Trust decidiu executar o hack preventivo por vários motivos.
Primeiro, ele enviou um relatório completo de vulnerabilidade uma hora e meia antes do hack, mas não recebeu resposta.
Segundo, ele estava com medo de que a equipe de desenvolvimento não estivesse disponível durante o fim de semana.
Terceiro, eles sabiam que o contrato não poderia ser corrigido e só poderia ser hackeado ou ter as aprovações dos usuários revogadas.
Por fim, eles priorizaram salvar um único endereço que continha a maioria dos fundos em risco, o endereço de Sifu. A Trust também não antecipou a complexidade dos bots MEV na situação.
À luz dessas revelações, é crucial que a comunidade de criptomoedas reavalie as práticas de segurança e priorize auditorias completas de contratos inteligentes para evitar que tais vulnerabilidades sejam exploradas.
As ações da Trust demonstram a importância dos hackers white-hat no ecossistema, trabalhando para proteger os fundos dos usuários e melhorar a segurança geral.
Você também pode gostar: Protocolo DeFi Euler Finance sofre um hack de US$ 197 milhões
