Os 10 Principais Hacks DeFi que Você Precisa Conhecer

Aprender sobre os 10 principais hacks DeFi é uma decisão inteligente que pode ajudá-lo a entender melhor a história e o futuro do mercado. O mundo DeFi (Finanças Descentralizadas) continua sendo um setor empolgante e em expansão da indústria de blockchain. Essas plataformas únicas e frequentemente experimentais focam em oferecer mais flexibilidade, privacidade e oportunidades de ROI aos usuários. Para alcançar esse objetivo, utilizam uma estrutura descentralizada, que pode melhorar a rentabilidade dos usuários.

O movimento DeFi está em pleno andamento, e a tecnologia continua a inovar. No entanto, esse crescimento massivo tem sido acompanhado por algumas dores de crescimento notáveis. Em torno de toda nova tecnologia, há alguém esperando para explorar quaisquer falhas, e o DeFi não é diferente. Aqui estão os 10 principais hacks DeFi que você precisa conhecer.

1. Ronin Network – $625M

No topo da lista de hacks DeFi está um incidente que resultou na perda de mais de meio bilhão de dólares. A rede Ronin sofreu um hack de US$625 milhões quando infiltradores conseguiram encontrar uma vulnerabilidade na sidechain. Notavelmente, a Ronin Network funciona como o principal meio para os jogadores de Axie Infinity transferirem ativos.

Axie Infinity é um dos títulos play‑to‑earn mais populares disponíveis. Os usuários coletam, batalham e criam seus Axies para garantir recompensas. Notavelmente, cada Axie possui características distintas que o tornam escasso e aumentam seu valor.

Os hackers conseguiram assumir o controle dos processos de retirada da rede corrompendo cinco validadores simultaneamente. Essa manobra permitiu que os atacantes roubassem facilmente US$25 milhões em USDC e 173.600 ETH. Até hoje, os fundos não foram recuperados.

2. Poly Network – $601M

Outro hack DeFi que ultrapassou meio bilhão de dólares ocorreu em agosto de 2021. Esse ataque compartilhou semelhanças com o da Ronin Network, pois os hacks ocorreram nos nós de validação. Os hackers visaram especificamente os nós contabilizadores das pontes cross‑chain para reunir informações suficientes e acessar as chaves privadas da rede. Uma vez obtidas as chaves, os hackers drenaram rapidamente milhões em tokens Ethereum, Polygon e BNB.

Além disso, um total final de US$268 milhões em tokens está bloqueado em uma conta que requer senhas tanto do hacker quanto da Poly Network. O que torna esse incidente ainda mais interessante é o fato de que a Poly Network ofereceu ao hacker US$500 mil e imunidade caso devolvesse os fundos. O hacker, claro, recusou a oferta, pois seria quase impossível garantir que autoridades governamentais não o processariam por um roubo tão audacioso.

Notavelmente, esse hack tem um final feliz, ao contrário da maioria dos outros nesta lista. A maior parte dos fundos foi devolvida, restando apenas US$33 milhões não contabilizados. Em uma de suas últimas interações, o hacker disse que realizou o roubo “apenas por diversão”.

3. Wormhole Bridge – $325 million

A Wormhole Bridge é outra história triste de redes DeFi sendo hackeadas e sofrendo perdas substanciais. A ponte Wormhole funciona como uma ponte DeFi cross‑chain vital. O objetivo do projeto é melhorar a liquidez eliminando pontos de atrito. Especificamente, a rede utiliza um processo chamado wrapping para permitir que ativos migrem para outras redes.

Neste incidente, os hackers conseguiram acessar o mecanismo de liquidez e começaram a cunhar tokens wrapped sem nenhum depósito. Curiosamente, para realizar essa tarefa, usaram moedas cunhadas na blockchain Solana. O ETH wrapped na Solana totalizou mais de 93.750 tokens. A partir daí, os hackers rapidamente trocaram os ativos por ETH diretamente.

4. Nomad Bridge – $190M

O hack da Nomad Bridge surpreendeu o mercado. Intrusos conseguiram fugir com impressionantes US$190 milhões em cripto usando uma brecha que criaram, permitindo-lhes retirar mais do que depositaram. Esse processo foi repetido surpreendentes 1.175 vezes antes que os administradores da rede percebessem o esquema.

O atraso resultou no roubo de US$190 milhões em tokens da rede. As análises forenses revelaram que mais de um hacker esteve envolvido no roubo à medida que a notícia se espalhava, e mais grupos se juntaram ao saque. A equipe da Nomad fez um apelo desesperado para que os fundos de seus usuários fossem devolvidos.

Surpreendentemente, mais de US$30 milhões foram realmente devolvidos, graças aos seus esforços. O restante dos fundos permanece desaparecido. Esse hack demonstra que, em alguns casos, a comunicação pode resultar na recuperação de milhões em recursos.

5. Beanstalk Farms – $182M

Beanstalk Farms funcionava como um sistema DeFi suportado por stablecoins algorítmicas. Stablecoins algorítmicas utilizam protocolos e reservas de moedas digitais, o que as diferencia da maioria das stablecoins. Notavelmente, esse tipo de stablecoin existe há algum tempo, mas tem se mostrado extremamente difícil de manter.

Neste hack, os atacantes concentraram-se no sistema de governança da comunidade. Exploitaram uma vulnerabilidade que lhes permitiu aprovar propostas. Após assumir o controle, aprovaram múltiplas propostas que cunharam centenas de milhões na stablecoin. Notavelmente, os fundos foram transferidos para dois endereços.

Um era o endereço presumido do hacker, e o outro era um endereço de doação ucraniano. No final, o hacker ficou com cerca de US$70 milhões do roubo, e o restante foi destinado a ajudar refugiados ucranianos. Dessa forma, esse hack permanece um enigma, já que os milhões doados fizeram algum bem.

6. Wintermute – $160M

Wintermute era uma plataforma de liquidez DeFi popular que tomou a infeliz decisão de usar a Vanity Wallet como seu armazenamento principal para os usuários. A Vanity Wallet possuía um vetor de ataque que permitia aos hackers usar ataques de recriação de endereço para drenar a rede em US$160 milhões.

Esse hack foi um exemplo claro de por que as redes DeFi precisam utilizar sistemas de armazenamento a frio em vez de carteiras quentes. O armazenamento a frio é um método de guardar seu cripto offline ou com o que se chama de “air gap”. Ele impede ameaças online e, desde então, tornou‑se o padrão da indústria após as perdas massivas.

7. Compound – $150M

Compound foi, e continua, um dos mercados de liquidez DeFi de melhor desempenho no setor. A rede sofreu uma perda massiva de US$150 milhões após uma combinação de código defeituoso e hackers que criaram caos. O erro de codificação, agora chamado de \”Leaky Tap\”, foi um problema de contrato inteligente que permitiu a cunhagem de novos tokens sem motivo.

The DeFi hacks first created a massive liquidity pool that contained 280,000 network utility COMP tokens. Once they had the pool open, they began siphoning funding out. Since it was a coding error and not a hack directly, the developers had to pass a community governance proposal to alter the error. The process ended up taking days to complete.

Os atrasos resultaram em perdas adicionais, pois os usuários foram obrigados a observar a conta sendo drenada lentamente. Pelo menos os desenvolvedores recuperaram mais da metade dos fundos pouco depois do incidente, o que ajudou a limitar consideravelmente as perdas para os usuários. Hoje, a Compound ainda opera como um protocolo DeFi de alto desempenho, embora com proteções de segurança aprimoradas contra esse tipo de ataque.

8. Vulcan Forged $140M

O hack da Vulcan Forged representou uma das primeiras vezes que uma rede play‑to‑earn foi alvo com sucesso, resultando em perdas de centenas de milhões. A plataforma ganhou popularidade ao oferecer acesso a uma série de títulos P2E populares. Além disso, os usuários podiam transformar seus ganhos e melhorar seus ROI, aproveitando as diversas opções DeFi oferecidas.

Em dezembro de 2021, as coisas pioraram para um grande grupo de usuários da rede depois que hackers conseguiram acessar o backend da rede e remover 96 chaves de carteira. O problema de codificação fez com que as carteiras Venally dos jogadores fossem drenadas de US$140 milhões em tokens PYR. Como se tratava de um erro de codificação, o projeto devolveu prontamente as perdas a todos os afetados.

9. BadgerDAO – $120M

O hack da BadgerDAO ocorreu em dezembro de 2021 e resultou na perda de 2.100 BTC e 151 ETH. A BadgerDAO funcionava como uma ponte Bitcoin de alto desempenho para o mundo DeFi. Tudo deu errado quando os hackers conseguiram localizar uma vulnerabilidade na interface de usuário da plataforma.

Após uma revisão cuidadosa após as perdas, determinou‑se que o hacker utilizou uma abordagem em múltiplas etapas, que começou com o ataque à empresa de segurança Cloudflare. Esse hack lhes deu acesso às informações necessárias para adicionar permissões às transações. Hoje, o site lista a descontinuação de todos os cofres restantes.

10. Horizon Bridge – $100M

O hack da Horizon Bridge ocorreu relativamente recentemente em comparação com muitos outros desta lista. Em junho de 2022, US$100 milhões foram roubados desta ponte cross‑chain. O operador da ponte, Harmony, foi forçado a interromper as operações temporariamente para deter o ataque e evitar perdas adicionais.

Uma revisão cuidadosa mostrou que a carteira multi‑sig da Harmony foi configurada para exigir quatro assinaturas. No entanto, apenas duas assinaturas eram necessárias para transferir fundos. Infelizmente, essas preocupações não foram levantadas antes do ataque. No final, os problemas se revelaram um alerta sólido, já que a rede se encontrou do outro lado de uma perda de nove dígitos.

Growing Pains are Part of Life

Não existe universo em que novas tecnologias possam inovar e se expandir sem que haja risco de golpistas e hackers explorarem qualquer oportunidade que encontrem. Felizmente, o lado positivo de cada hack é que ele revela uma nova estratégia que pode então ser evitada em outras plataformas. Dito isso, hackers maliciosos são, infelizmente, parte da comunidade cripto – goste-se ou não.