Falha de segurança prejudica contratos no Bancor, mas protocolo consegue migrar fundos
Bancor Network, o protocolo de corretora descentralizada, teve sua segurança comprometida ontem (17), resultando em uma perda de aproximadamente US$ 455 de fundos de usuários. Porém, Bancor ficou sabendo do problema e os migrou para uma carteira segura.
Mais especificamente, houve uma falha nos contratos autônomos mais recentes do Bancor, que foram aplicados há dois dias. Assim, todos os usuários que interagiram com o protocolo de corretora nas últimas 48 horas foram afetados.
“Devido à recente vulnerabilidade existente em contratos v.06, se você negociou contratos no Bancor nas últimas 48 horas, acesse https://approved.zone/ e revogue quaisquer acessos de endereços de contratos afetados do Bancor”, afirmou Bancor em seu canal oficial no Telegram.
A vulnerabilidade foi “grave”, disse Anton Bukov, CTO da agregadora de corretoras descentralizadas 1inch, ao The Block.
Os contratos autônomos tinham um método público que permitia a qualquer um usar “aprovações infinitas” para roubar fundos de usuários, afirmou Bukov. Aprovações infinitas são um recurso padrão ERC-20 que permite que alguém colete tokens de outra carteira.
Em uma publicação mais detalhada, Bancor afirmou que contratos v.06 “equivocadamente tornaram pública a função safeTransferFrom no contrato da Bancor Network”.
“Contratos autônomos de corretoras como Bancor usam subsídios para interagir com carteiras de usuários. É uma prática comum utilizada por grande parte das dapps [aplicações descentralizadas]. Porém, nesse caso, uma função privada deveria ser limitada ao único contrato que veio a público. Isso permitiu que qualquer um transferisse tokens aprovados apenas para que o contrato os transferisse”, complementou.
Bancor certificou que nenhum fundo de usuário estava em risco por conta da vulnerabilidade, já que iniciou um ataque imediato e migrou US$ 455.349 equivalentes em fundos para uma carteira segura.
“Um novo contrato da rede foi aplicado para certificar que um erro assim não aconteça. Agora, a negociação no sistema voltou ao normal”, explicou a publicação.
Embora Bancor tenha iniciado o “ataque benigno”, dois bots de arbitragem detectaram as transações e capitalizaram US$ 135,229 no Bancor.
O protocolo afirmou que entrou em contato com os donos dos bots e está trabalhando para recuperar as quantias em troca de um caça a bugs (“bug bounty”).
Bukov contou ao The Block que os dois bots são arden43y@gmail.com e 0x9799b475dec92bd99bbdd943013325c36157f383@riseup.net. Ainda não se sabe se esses bots devolveram os fundos ao Bancor.
Essa não é a primeira vez que Bancor passa por uma falha de segurança. Em 2018, o protocolo foi invadido e US$ 13,5 milhões foram roubados e os fundos estavam em diversos contratos de conversão.
Havia perdido US$ 23,5 milhões na época, mas cerca de US$ 10 milhões foram recuperados, resultando em um prejuízo líquido de US$ 13,5 milhões.
