Recursos principais
Premium
Cadastre-se gratuitamente para obter cotações em tempo real, gráficos interativos, fluxo de opções ao vivo e muito mais.
Sentiment, um protocolo de empréstimo sem garantia, parece ter sido explorado em 4 de abril por mais de US$ 500.000 em cripto. Dados da blockchain Ethereum mostram uma transação que transferiu 536.738,410031 USD Coin da Synapse Bridge, e isso se conecta a uma série de transações Arbitrum drenando moedas do protocolo Sentiment.
A carteira que realizou o ataque foi rotulada como “Sentimentxyz Exploiter” pela Arbiscan, e a equipe Sentiment anunciou no Twitter que está ciente de um “problema potencial” com o protocolo.
O usuário do Twitter Officer’s Notes sugeriu que isso pode ser um ataque de reentrada. O usuário contou com pesquisas feitas pelo usuário do Twitter FrankResearcher para chegar a essa conclusão.
A equipe do Sentiment ainda não declarou quais etapas estão sendo executadas para interromper o ataque ou o que os usuários devem fazer para mitigar o risco.
Uma investigação mais aprofundada revela que o invasor pode ter roubado a chave do implantador do protocolo. O invasor começou implantando um contrato na rede Arbitrum no seguinte endereço: 0xa4d063b9468b93aee2a87ec7072c3dabd5ee5968.
Eles então chamaram a função “executar” neste contrato um minuto depois. No entanto, esta chamada de função falhou, produzindo uma resposta “Falha com erro ‘BAL#420”. O invasor respondeu chamando a função de “autodestruição” no contrato, que foi bem-sucedida. Isso apagou todo o código do contrato do blockchain.
Depois de destruir este contrato, o invasor reimplantou no seguinte endereço: 0x9f626F5941FAfe0A5b839907d77fbBD5d0deA9D0.
Eles então chamaram a função “executar” mais uma vez. Desta vez, conseguiram, fazendo com que o contrato realizasse várias transações. Uma dessas transações alterou o admin para um contrato BeaconProxy localizado no endereço 0xdf346f8d160424c79cb8e8b49b13dd0ca61c3b8c.
Isso implica que o ataque pode ter sido resultado de uma chave de implantação roubada.
Depois que o contrato foi atualizado, o contrato inteligente malicioso aprovou o invasor para transferir vários tokens, resultando na perda de fundos para o protocolo. Esses fundos foram então trocados e movidos através da ponte Synapse para a rede Ethereum.
Depois que essas transações foram concluídas, o invasor mais uma vez destruiu o código do contrato.
Por Tom Blackstone
