O aplicativo gestor de liquidez Concentric, operando na plataforma Arbitrum, sofreu um grave ataque cibernético.
We regret to inform you that our protocol has suffered a severe security breach due to a targeted social engineering attack on one of our team members holding the deployer wallet. This unfortunate incident led to unauthorized access and subsequent exploitation of our protocol.…
— Concentric.fi (@ConcentricFi) January 22, 2024
O atacante utilizou uma estratégia de ‘ataque de engenharia social’ para comprometer a chave privada do protocolo, que foi posteriormente usada para ‘atualizar os cofres, criar novos tokens LP e, em seguida, drenar os cofres de seus ativos’, conforme declarado pela equipe do Concentric.
Este incidente ressalta a vulnerabilidade dos protocolos de criptomoedas a ataques sofisticados, onde os atacantes exploram não apenas as falhas técnicas, mas também as humanas.
Perdas e conexões com outros ataques
De acordo com um relatório da plataforma de segurança blockchain CertiK, mais de US$ 1,8 milhão foram perdidos até agora no ataque.
We have seen an exploit on @ConcentricFi on Arbitrum
Exploiter wallet is linked to the OKX Exploiter
Initial losses look to be around ~$1.6mhttps://t.co/t9liWxo3jz
— CertiK Alert (@CertiKAlert) January 22, 2024
A carteira do atacante está ‘vinculada’ à carteira que realizou o exploit da exchange descentralizada OKX em 13 de dezembro, sugerindo que ambos os ataques podem ter sido realizados pela mesma pessoa ou grupo.
O atacante utilizou a função adminMint em um contrato do Concentric, criando 0.001 tokens CONE-1 e, em seguida, chamou a função ‘burn’ para resgatar os tokens CONE-1 por fundos do AlgebraPool. Esse processo foi repetido várias vezes, permitindo que o atacante obtivesse múltiplos tokens ERC-20, que foram posteriormente trocados por Ether.
Resposta e prevenção a futuros ataques
A equipe do Concentric afirmou que iniciou uma investigação e emitirá um relatório pós-morte o mais rápido possível. No relatório, a equipe fornecerá um plano para abordar a vulnerabilidade.
‘Nossa equipe está totalmente comprometida em resolver esse problema e restaurar a integridade do protocolo Concentric’, declarou a Concentric. Protocolos de gestão de liquidez são usados para definir preços mínimos e máximos e para reequilibrar pools de liquidez em uma exchange descentralizada (DEX).
Eles ganharam popularidade após o Uniswap lançar seu recurso de ‘liquidez concentrada’ em 2021. Outro gestor de liquidez, o Protocolo Gamma, foi atacado em 4 de janeiro e drenado de quase US$ 500.000 através de uma vulnerabilidade de contrato inteligente. Os dois ataques empregaram métodos diferentes e não parecem estar relacionados.
