Abracadabra.Money, plataforma de empréstimos descentralizados, sofreu um ataque informático que resultou na perda de cerca de 13 milhões de dólares em Ethereum (ETH).
O ataque, direcionado a pool ligados aos tokens GMX, levantou questões sobre a segurança da plataforma. No entanto, GMX negou qualquer vulnerabilidade nos seus smart contracts.
Summary
Detalhes do ataque a Abracadabra.Money: roubados 6.260 ETH
De acordo com a empresa de segurança cibernética PeckShield, em 25 de março foram subtraídos 6.260 ETH, correspondentes a cerca de 13 milhões de dólares, dos contratos ligados a Abracadabra.Money e aos pools GMX.
O incidente segue um ataque anterior ocorrido no final de janeiro de 2024, que havia causado uma perda de 6,49 milhões de dólares e comprometido a ancoragem do token Magic Internet Money (MIM) ao valor do dólar dos Estados Unidos.
O ataque destacou possíveis vulnerabilidades nos contratti di Abracadabra.Money, mesmo que permaneçam dúvidas sobre o envolvimento de GMX.
Apesar das primeiras hipóteses sugerirem que a falha estava nos contratos GMX, um membro da equipe de comunicação da plataforma esclareceu que “os contratos de GMX não foram comprometidos.”
O representante explicou que os contratos inteligentes GMX foram mencionados apenas porque os pools de MIM utilizam pool GMX v2.
GMX posteriormente divulgou um comunicado oficial no X, esclarecendo que o ataque afetou exclusivamente as pool de MIM baseadas nos tokens GM. A plataforma declarou:
“Acreditamos que o problema está relacionado unicamente aos caldeirões Abracadabra/Spell. Esses caldeirões permitem emprestar contra tokens GM específicos de liquidez.”
Esta posição isenta a GMX de qualquer envolvimento direto na vulnerabilidade, deixando a Abracadabra.Money sozinha na gestão das consequências do ataque.
Análise do ataque: uso de Tornado Cash e bridge para Ethereum
A empresa de análise blockchain AMLBot reconstruiu em parte o modus operandi dos hackers. De acordo com as investigações:
- – O primeiro financiamento da carteira do hacker ocorreu através do Tornado Cash, um mixer descentralizado que permite ofuscar a origem das criptovalute.
- – Subsequentemente, os fundos foram utilizados para cobrir as taxas das transações maliciosas.
- – Uma vez concluída a operação, os 6.260 ETH roubados foram transferidos da rede Arbitrum para Ethereum através de uma ponte blockchain.
AMLBot também confirmou que apenas os contratos de Abracadabra.Money foram violados, enquanto os smart contracts GMX não foram comprometidos durante o ataque.
Este ataque representa um desafio adicional para o mundo das finanças descentralizadas (DeFi), uma das áreas mais expostas aos riscos de hacking. Com cada vez mais plataformas baseadas em smart contracts, a segurança continua a ser uma das principais preocupações para investidores e desenvolvedores.
Abracadabra.Money já havia sofrido uma violação em janeiro de 2024, que resultou em uma perda de quase 6,5 milhões de dólares e uma desestabilização do token MIM.
Este novo ataque testa ainda mais a capacidade da plataforma de garantir proteção aos usuários.
GMX, por sua vez, reiterou que seus contratos não sofreram violações, tentando afastar qualquer dúvida sobre a segurança de sua plataforma.
A gestão da comunicação por parte das empresas envolvidas será crucial para manter a confiança dos usuários e limitar as repercussões no mercado.
Conclusões
O ataque ao Abracadabra.Money destacou mais uma vez os riscos da DeFi, um setor em rápido crescimento, mas vulnerável a ataques cibernéticos. A perda de 13 milhões de dólares em ETH representa um golpe significativo para a plataforma e seus usuários.
As investigações da PeckShield e AMLBot esclareceram que a falha reside nos contratos de Abracadabra.Money, enquanto GMX parece estar alheio a isso.
No entanto, a questão levanta importantes questões sobre a segurança das interações entre protocolos DeFi e sobre a necessidade de maior proteção contra exploits e ataques maliciosos.
Abracadabra.Money terá agora que enfrentar as consequências do ataque, implementando medidas de segurança para evitar futuras violações e restaurar a confiança dos usuários no protocolo.
.){kind=link}