O mercado de criptomoedas tem passado por um momento complicado em relação à liquidez, o que também interfere no setor das finanças descentralizadas (DeFi). Com uma saída de capital dessa arena, as DEXes (Exchange Descentralizada) viram uma grande queda em seu volume de negociação no segundo trimestre de 2023. No entanto, essa não é a única dor de cabeça enfrentada pelo DeFi este ano.
Diversos protocolos das finanças descentralizadas foram hackeados e o mais recente foi o projeto de empréstimo DeFi EraLend. Ele sofreu um ataque de reentrância, e como resultado, perdeu US$3.4 milhões em tokens.
Entendendo o ataque
Para quem ainda não conhece o termo, um ataque de reentrância foca em contratos inteligentes.
Nesse tipo de exploração, um indivíduo mal-intencionado identifica uma vulnerabilidade de segurança no código desses contratos e aproveita-se dela para executar repetidamente uma função específica do contrato antes que a função anterior seja concluída.
Essa técnica abusa do comportamento das transações em contratos inteligentes, aproveitando a execução assíncrona de chamadas de função.
Quando executadas de forma inadequada, essas chamadas de função podem manipular o preço dos tokens dentro do contrato inteligente, permitindo ao invasor retirar uma quantia muito maior do que seria possível de acordo com as regras do protocolo.
O EraLend optou por não utilizar oracles em sua plataforma, alegando, assim, uma maior redução de riscos. De acordo com a equipe responsável pelo projeto, a ausência de oracles e liquidez externa tornava a plataforma menos suscetível a ataques.
Quando uma plataforma de empréstimo DeFi não depende de oracles, isso pode reduzir um possível ponto de falha. Afinal, ela não está sujeita à confiabilidade e segurança dos dados fornecidos por terceiros. Em vez disso, o protocolo pode usar contratos inteligentes para controlar todo o processo de empréstimo e garantir a execução automática de acordos entre as partes envolvidas.
No entanto, o não uso de oracles não protege um projeto de tudo, e o EraLend sentiu isso em seu contrato. Após o ataque que teve como alvo o estoque de USDC da plataforma, todas as operações de empréstimo foram suspensas temporariamente. Os desenvolvedores do EraLend aconselharam sua comunidade a não depositar a stablecoin no protocolo até que o problema fosse solucionado.
Buscando auxílio para retomar o funcionamento normal e talvez até identificar a pessoa responsável pelo ataque, a equipe do EraLend entrou em contato com várias empresas de segurança cibernética e outros parceiros.
