Constantemente o mercado de criptomedas se vê a volta com problemas técnicos em softwares. Em alguns casos, a descoberta de problemas gera a necessidade de uma mudança drástica, gerando uma bifurcação (hard fork).
Nesta terça-feira (25), a empresa de segurança de blockchain HashEx deu um alerta aos mais de 20 milhões de usuários do protocolo de DeFi SafeMoon. A auditoria feita recentemente pela HasEx encontrou nada menos que 12 vulnerabilidades críticas no protocolo do projeto.
O documento indica que o padrão de tokens BEP-20 da Binance Smart Chain possui falhas graves. Hackers podem explorar essas falhas de segurança no SAFEMOON e outros tokens baseados neste padrão.
Em comunicado, a HashEx esmiuçou o problema: “Realizamos uma auditoria e descobrimos 12 vulnerabilidades, 2 das quais críticas e 3 de alto risco.”
Embora não seja muito conhecida no Brasil, a SAFEMOON é uma das queridinhas do momento. “Cresceu mais de 15.000% desde seu lançamento e seu valor de mercado ultrapassou US$ 6 bilhões. A liquidez é atualmente superior a US$ 200.000.000”, lembra a HashEx
Na prática, essas vulnerabilidades identificadas pela HashEx colocam em risco os investimentos de milhões de usuários. De acordo com o relatório, pelo menos quatro vulnerabilidades funcionam de forma combinada. Isso facilitaria os damos numa eventual exploração sequencial.
Usando as brechas, os hackers poderiam bloquear temporariamente a transferências de tokens, deixando o contrato inteligente permanentemente inoperante, remover detentores do token da distribuição de comissões, ou ações parecidas.
Outra preocupação é a possibilidade de “rug pull” (puxada de tapete), expressão usada para descrever a decisão da equipe por trás de um projeto em liquidar seus tokens e sumir com o dinheiro. Nesses casos, os investidores acabam ficando sem nada.
Numa operação normal, cada venda de token SafeMoon gera uma taxa de 10% e metade dessa quantia é repassada como recompensa para os titulares. Porém, os pesquisadores da HashEx alegam que um invasor mal-intencionado pode definir funções de contrato, como taxas e desviar 100% das comissões de cada venda.
Os pesquisadores da HashEx destacaram que o proprietário do contrato inteligente SafeMoon é uma conta externa, nas mãos de uma pessoa específica. Se o endereço do proprietário for comprometido, como um ataque de “renúncia de propriedade temporária”, mais de 20 milhões de dólares podem ser liquidados a qualquer momento.
“Por representar cerca de 15% de toda a liquidez mantida em pools de liquidez, a taxa de câmbio do SafeMoon pode cair rapidamente”, termina a avaliação da HashEx.
Posição da SafeMoon
O alerta foi emitido para deixar a comunidade criptográfica ciente dos riscos. Uma das vantagens de “descentralização” na emissão de moedas digitais está na certeza que o dinheiro dos usuários está seguro e não pode ser manipulado por ninguém.
A resposta oficial da SafeMoon às acusações da HashEx foi emitida por Thomas Smith, diretor de tecnologia da empresa, que disse ter sido alertado pela Certik, seu auditor de contrato inteligente.
“Esses não são problemas que podemos atualizar com um contrato implantado sem fazer um hard fork e já fomos informados sobre isso pela Certik. (…) Internamente, temos políticas e procedimentos sobre como o contrato opera para aliviar o risco de valores incorretos. No entanto, vocês nunca nos verão modificar taxas ou maxTx. Obrigado pela auditoria, levaremos suas descobertas em consideração se/quando realizarmos um hard fork.”
