O ataque aconteceu nesta madrugada e resultou na perda de 229,84 ETH. Impossible Finance foi desenvolvido no Binance Smart Chain (BSC).
Mudit Gupta, desenvolvedor do SushiSwap, afirmou que o mesmo tipo de vulnerabilidade resultou na perda de US$ 7,2 milhões do BurgerSwap — outro protocolo criado no BSC — em maio.
Assim como o ataque à BurgerSwap, o hacker realizou um ataque de empréstimo-relâmpago para zerar os fundos do pool de liquidez do Impossible Finance com a ajuda de um token falso.
Ataques de empréstimo-relâmpago acontecem quando um invasor toma um empréstimo, sem apresentar garantias a um protocolo, e manipula o mercado a seu valor por meio de truques técnicos.
A empresa de segurança WatchPlug explicou que o hacker se aproveitou de uma vulnerabilidade do contrato autônomo do pool para realizar diversas conversões de IF, o token nativo do protocolo, para BUSD e, depois, em BNB, a fim de pagar o empréstimo-relâmpago.
Porém, o curioso é que as conversões foram realizadas “em sequência a quase o mesmo preço”, algo “geralmente impossível” por conta de “slippage” — diferença entre o preço esperado e o preço de execução.
At 4 AM UTC, Jun 21, $0.5M was stolen from Impossible Finance.
The hacker made multiple swaps in a row at about the same price and drained the LP, which is usually impossible.
How does Impossible Finance make the impossible possible?
Outras vítimas desse ataque, que também são desenvolvidas no BSC, incluem PancakeBunny e BeltFinance.
No Telegram, a equipe do Impossible Finance confirmou que irá compensar todos os fundos depositados nos pools de liquidez IF/BUSD e IF/BNB antes do ataque.
