A Bedrock DeFi, um protocolo DeFi baseado em Bitcoincom um ativo encapsulado, teve um prejuízo de US$ 1,7 milhão. O roubo de uniBTC ocorreu apenas um dia após um ataque contra a Onyx Finance.
DeFi da Bedrock foi alvo de um ataque que resultou em um prejuízo de US$ 1,7 milhão em uniBTC, após o esgotamento do pool de reestabelecimento de tokens por meio de uma vulnerabilidade em um contrato inteligente trac Após investigar o ataque, a Bedrock desativou o contrato inteligente problemático trac evitando matic explorações . O hacker conseguiu emitir uniBTC sem limites, expondo potencialmente todos os pools e pares de negociação relacionados.
A vulnerabilidade foi inicialmente descoberta pela equipe de análise da Dedaub, que imediatamente tentou contatar os desenvolvedores da Bedrock. No entanto, menos de três horas depois, outro atacante aplicou esse conhecimento e criou uniBTC em excesso.
A Bedrock DeFi anunciou que a vulnerabilidade afetou apenas o uniBTC, outra forma tokenizada de BTC. As reservas subjacentes permanecem seguras e o protocolo resolveu o problema. A plataforma detém mais de US$ 243 milhões em ativos em staking provenientes de diversas redes, incluindo Bitcoin e Ethereum. A Bedrock DeFi tinha como objetivo oferecer re-staking líquido em múltiplas blockchains, onde ativos ociosos poderiam gerar renda passiva.
O ativo uniBTC tokenizado é umtracERC-20 na blockchain Ethereum . O BTC encapsulado está presente em 3.552 endereços e possui uma capitalização de mercado total de US$ 75,4 milhões. Logo após a exploração da vulnerabilidade, alguns pares descentralizados apresentaram movimentos extraordinários.
Existem versões do uniBTC em um total de oito redes, e alguns protocolos, como o Pendle, têm uma exposição de até US$ 30 milhões ao ativo, empatados com o protocolo Corn. Umtracvulnerável semelhante para a emissão de uniBTC estava criando ameaças no Ethereum, Binance, Arbitrum, rede principal Optimism, Mantle, Mode, BOB e ZetaChain. Pesquisadores da Dedaub alertaram o Pendle, o que impediu que a maior parte do valor bloqueado fosse explorada como liquidez de saída.
O ataque hacker ao uniBTC causou um efeito cascata nas exchanges descentralizadas. Uma das pools da Uniswap V3 viu o preço despencar para US$ 17.889,15 , enquanto outro par era negociado com um desconto menor, a US$ 62.311,48. A versão Optimism do par descentralizado caiu 90%, para menos de US$ 18.000. O ativo chegou a atingir uma nova mínima de US$ 5.741,48. A pressão vendedora predomina, impedindo tentativas de arbitragem devido à baixa liquidez dos pares.
A queda acentuada na taxa de swap pode ter prejudicado ainda mais o protocolo, causando também danos à sua reputação. Horas após o ataque, o uniBTC ainda não havia recuperado a paridade com o WBTC, que compõe a maioria dos pares de negociação.
Assim como em outros casos de exploração de vulnerabilidades, comentários falsos em redes sociais incitavam o uso de um site de revogação de saldo. Usuários de carteiras digitais enfrentam riscos adicionais devido a esses links maliciosos, que podem drenar os ativos restantes.
Hacker explorou vulnerabilidade na chamada da Bedrock para otracuniBTC
A vulnerabilidade afetou o uniBTC tokenizado, que tem lastro em BTC e WBTC reais. Pesquisadores como Dedaub afirmaram ter notado a possível vulnerabilidade no Bedrock, mas o ataque ocorreu horas depois do alerta.
Dedaub observou que um agente malicioso poderia criar infinito e atacar cofres e pares descentralizados. O ataque afetou potencialmente Pendle e Corn, além da Bedrock DeFi . O explorador poderia depositar uma pequena quantidade de ETH e cunhar uniBTC a uma taxa de câmbio discrepante. O ativo recém-cunhado seria totalmente transferível e poderia ser revendido por mais WBTC na Uniswap ou em outros protocolos descentralizados.
Outro pesquisador, Chaofan Shou, apontou que otracuniBTC era vulnerável a uma chamada de função. O montante em risco foi precisamente esgotado poucas horas antes da análise.
Você poderia usar o ItyFuzz para gerar um exploit totalmente funcional que rouba até US$ 1,7 milhão do DeFi da @Bedrock_ .
E tudo o que é preciso é um núcleo de CPU + 0,5s. pic.twitter.com/SMMD1MSbvT
-Chaofan Shou (@shoucccc) 27 de setembro de 2024
As chamadas a contratos inteligentes trac sendo um dos maiores riscos, especialmente após o aumento do valor bloqueado nos DeFi . O ataque contra o Bedrock DeFi ocorreu quando o valor total bloqueado do protocolo estava próximo de sua máxima histórica de US$ 243 milhões .
O que salvou o protocolo foi a natureza não custodial do staking, que permitiu ao hacker roubar o ativo encapsulado e afetar os pools de liquidez das DEXs, mas não as reservas subjacentes. O BTC encapsulado geralmente usa carteiras frias e não é facilmente reversível para o ativo original.
A Bedrock utiliza Babylon Labs e Eigen Layer para implementar sua estrutura de recompensas. Esses protocolos desbloqueiam o valor do BTC e do ETH de forma segura, sem expor os ativos diretamente ao risco. O uniBTC criado também pode ser usado no Pendle e no Velodrome para gerar retornos passivos.
A maioria dos ataques nas últimas semanas teve como alvo DeFibaseado em Ethereum. O ataque atual afetou um ativo derivado Bitcoin, embora este ainda utilize a blockchain Ethereum para a maior parte das transferências de valor.
Reportagem Cryptopolitan de Hristina Vasileva
