A Uniswap, protocolo descentralizado para automação de liquidez de ETH desenvolvida na blockchain do Ethereum, sofreu um ataque hacker que explorou uma falha de segurança em sua última atualização. Um desses pools de liquidez foi subtraído em US$ 300 milhões em ETH no último dia 18.
O pool escolhido pelo hacker foi o imBTC, uma versão embrulhada do Bitcoin criada pela imtoken em parceria com a Tokelon, uma exchange descentralizada. A DEX foi a primeira a descobrir o ataque e divulgá-lo a toda comunidade.
Segundo a Tokelon, o hacker utilizou um vetor de ataque em tokens derivados do padrão ERC-777 no UniSwap. Contudo, felizmente os Bitcoins mantidos em custódia não foram afetados, porém transações da imBTC foram pausadas.
Os ERC-777 são um padrão de tokens, assim como os ERC-20, porém mais complexos. Esse padrão de token adiciona “ganchos” que acabam com a necessidade de duplas transações. Porém, esses “ganchos” expuseram o dapp a ataques de reentrada, que foi logo identificado pelo hacker, que tirou proveito da vulnerabilidade.
Contudo, no dia seguinte (19), a Tokelon voltou a ser alvo de ataques de reentrada, desta vez na Lendf.me, uma plataforma de empréstimos descentralizados. Assim, as transações do imBTC tiveram que ser interrompidas novamente, voltando a normalidade apenas no final do dia.
Até o momento, a equipe de segurança da Tokelon está conduzindo uma investigação sobre o ataque.