O cofre de liquidez da Clober foi explorado e rendeu 133 ETH. A equipe oferece uma recompensa por trapaças éticas

O Clober, um mercado descentralizado na Base, foi explorado para gerar um prejuízo de 133 ETH. A equipe ofereceu ao hacker ético uma taxa de 20% para recuperar o acesso aos fundos. 

Um dos cofres de liquidez da Clober, uma DEX na blockchain Base, sofreu recentemente um ataque. O hacker conseguiu sacar 133 ETH em uma única transação. 

🚨 URGENTE: Alerta de Violação de Segurança 🚨

Lamentamos informar nossa comunidade que o Clober Liquidity Vault foi comprometido em uma violação de segurança.

Queremos tranquilizar nossos usuários de que o protocolo Clober em si não foi afetado e todas as funcionalidades principais continuam operando normalmente…

— Clober | CLOB DEX totalmente on-chain (@CloberDEX) 10 de dezembro de 2024

Após a exploração da vulnerabilidade, os fundos foram transferidos de volta para a cadeia principal Ethereum , que possui diversos caminhos para mistura ou negociação.

O protocolo afirmava que nenhuma outra funcionalidade do protocolo permanecia inalterada e não exigia que os usuários tomassem quaisquer medidas adicionais.  

A Base é uma das blockchains relativamente mais seguras, com poucos relatos de ataques. No entanto, o crescimento do seu setor DeFi aumentou a frequência de tentativas de roubo de fundos valiosos. Assim como em outros ataques, os golpistas podem tentar publicar links de phishing com o objetivo de esvaziar carteiras.

Além da versão Base, a Clober criou uma versão Arbitrum, que permanece intacta após o ataque. O Clober Core e a testnet Mitosis também estão seguros e não serão congelados ou interrompidos. 

O cofre em questão foi esvaziado e nenhum outro fundo está em risco. O cofre Clober V2 ainda está operacional e atualmente está acumulando valor bloqueado, de acordo com dados da Messari. Esse cofre contém um pouco mais de US$ 17 mil. 

Apesar do pedido de recompensa por conduta ética, o hacker reteve os fundos. A equipe contatou o hacker diretamente pela rede Ethereum com uma mensagem para resolver o problema. 

O projeto está trabalhando com a Match Systems em uma possível solução de "chapéu ético", onde o hacker recebe uma taxa, mas devolve a maior parte da liquidez.

Hacker explorou falha na função de queima de fundos para roubar dinheiro

Para concluir o ataque, o hacker da Clober depositou apenas 2,87 ETH da Binance. Após sacar os fundos, eles utilizaram a ponte do protocolo Across, chegando a dois endereços Ethereum . 

Os dois endereços (1 e 2) foram criados especificamente para a transação de ponte para levar os fundos da Base para a Ethereum . 

Segundo a PeckShield, o ataque foi possível devido a problemas na função de queima de dados, que permitiram a chamada de saque. 

A Clober oferecia livros de ordens totalmente on-chain

Clober ainda é um protocolo em estágio inicial com liquidez relativamente baixa. Seu cofre de liquidez está praticamente vazio. O protocolo também recebeu liquidez somente em 9 de dezembro, de acordo com DeFi Llama. O ataque ocorreu um dia depois, sugerindo que o hacker pode ter acompanhado o protocolo de perto. 

Nos últimos dias, ocorreram explorações semelhantes envolvendo quantias relativamente pequenas. Os eventos recentes exploraram falhas lógicas em contratos inteligentestracpossibilitando tentativas relativamente fáceis de drenar fundos. 

A recente exploração ocorreu poucos dias depois da Clober concluir uma auditoria em seustracinteligentes. Para a auditoria, a empresa contratou a Kupia Security, conhecida por oferecer diversas recompensas por bugs em projetos de grande visibilidade. 

Apenas alguns dias antes disso, a Clober também anunciou sua abordagem de cofre de liquidez, que visava suavizar a atividade e as trocas em DEXs. Na época, a empresa se gabava de que sua liquidez de US$ 500 mil poderia gerar volumes de US$ 1,2 milhão em 24 horas, permitindo concluir negociações com mais eficiência. Foi justamente essa liquidez disponível que o explorador levou embora. 

O cofre de liquidez da Clober foi lançado na Base há pouco mais de uma semana, com o objetivo de substituir os tradicionais formadores de mercado automatizados (AMMs) para negociações em DEXs. A Clober também investiu bastante em sua promoção, destacando sua abordagem de liquidez direcionada e o potencial para altos volumes. 

A Clober foi lançada logo após a Base atingir um novo recorde de valor bloqueado, com seu DeFi agora detendo US$ 3,86 bilhões em TVL (Valor Total Bloqueado). A Clober visa oferecer um modelo semelhante ao da Aerodrome, onde a liquidez direcionada alcança volumes muito maiores, ao focar na faixa de preço mais comum entre os traders.