Il 14 novembre, un ignoto malintenzionato ha sfruttato una falla nei prestiti flash del protocollo finanziario decentralizzato “Value DeFi” per sottrarre 5,4 milioni di dollari. Alcuni utenti hanno però ricevuto indietro una parte dei fondi che erano stati rubati, dopo aver supplicato l'hacker tramite i dati di input della blockchain Ethereum.
Secondo i dati di Etherscan l'hacker ha inviato 95.000$ in DAI a due delle vittime, che domenica gli avevano mandato dei messaggi all’interno dei dati di input dell'Ethereum block explorer.
Una vittima che sosteneva di essere un’infermiera ha scritto: "Ho perso 100.000 dollari nel tuo attacco. Sono tutti i miei risparmi. Spero che me li restituirai.”
Un altro utente, che sosteneva di essere un 19enne britannico cui erano stati sottratti 200.000$, ha detto: "I miei nonni e i miei genitori mi hanno mandato i risparmi di una vita per metterli nell’investimento ad alto rendimento di cui gli avevo parlato. Ti sarò grato se potresti restituirmi i fondi, così potrò ridarli alla mia famiglia".
In effetti, l'hacker ha trasferito 50.000 DAI all'infermiera e 45.000 DAI al diciannovenne, ma le transazioni contenevano un messaggio. Secondo il criminale, la sua azione non era che una lezione rivolta agli investitori:
"Non mi aspettavo di ottenere i vostri soldi, ma come abbiamo visto, ci sono tantissime persone che mancano di competenza e di prudenza, e prima o poi quei soldi li avrebbero persi comunque. Alcune ferite sono dolorose, ma molto efficaci."
Nel tempo trascorso da quando sono stati pubblicati questi messaggi, molti utenti hanno inviato all’hacker delle piccole transazioni con allegati dei messaggi, chiedendo i propri fondi indietro. Al momento della pubblicazione del presente articolo, non risultano più esserci state transazioni in uscita dall'indirizzo associato all'attacco.
Secondo un report di Value DeFi pubblicato domenica, l'exploit è iniziato quando un utente ha contratto un prestito flash dal protocollo Aave per 80.000 Ether (ETH), pari a circa 37 milioni di dollari al momento della pubblicazione del presente articolo, oltre ad acquistare 116 milioni di DAI e 31 milioni di Tether (USDT). L'aggressore ha poi scambiato 25 milioni di DAI con la stablecoin del protocollo, mvUSD, 91 milioni di DAI con USD Coin (USDC), ed i 31 milioni di USDT con 17 milioni di USDC. Ogni swap è stato progettato per sfruttare il prezzo utilizzato dall’algoritmo di prelievo del vault di Value.
Il protocollo ha dichiarato di voler creare un fondo per compensare gli utenti colpiti e ha contattato in prima persona l'hacker tramite una transazione per cercare di "accelerare il processo". I dati di Etherscan mostrano che Value DeFi ha offerto 1 milione di dollari all'hacker in cambio di 5,4 milioni di dollari in DAI. Da allora, tuttavia, non c'è stata alcuna risposta o transazione in uscita da parte del criminale.
Value DeFi ha dichiarato:
"Tutti i team all'interno di questo settore utilizzano una tecnologia molto rischiosa che per sua natura non ha tempo per svolgere analisi e test rigorosi. Non importa se i vostri fondi sono investiti nel protocollo Value DeFi o in qualsiasi altro progetto DeFi, c'è sempre un elemento di rischio quando si tratta di smart contract e di prodotti sempre più complessi".
Al momento della pubblicazione del presente articolo, il valore del token Value DeFi è di 2,02 dollari: è sceso di oltre il 26% rispetto al prezzo precedente all’attacco, pari a 2,74 dollari.