Tornado Cash desvia fundos: deltatiger.eth da Goldfinch Finance sofre perda de US$ 330 mil

Um usuário da Goldfinch Finance, conhecido como deltatiger.eth, teve US$ 330 mil desviados através do protocolo de mixagem Tornado Cash. O incidente expõe mais uma vez os riscos persistentes no ecossistema DeFi.

Como o ataque aconteceu

Fundos foram redirecionados para fora da carteira do usuário, passando pelo serviço de privacidade Tornado Cash. O mecanismo, projetado para ofuscar transações, foi usado aqui para ocultar o rastro de uma perda significativa.

O custo da 'privacidade'

Enquanto protocolos de mixagem prometem anonimato, eles também criam um ponto cego perfeito para atividades maliciosas. É a clássica faca de dois gumes da criptografia: a mesma ferramenta que protege um dissidente pode encobrir um ladrão. A indústria ainda busca o equilíbrio impossível entre transparência total e privacidade absoluta.

Lições não aprendidas

Incidentes como este servem como lembrete brutal. Na corrida por retornos, os fundamentos de segurança muitas vezes ficam em segundo plano – até que US$ 330 mil desaparecem. É o velho ciclo das finanças com um novo sabor tecnológico: a ganância supera o medo, até que o medo cobra sua fatura.

O método de empréstimo descentralizado da Goldfinch Finance apresentou falhas.

Goldfinch Finance é um protocolo de finanças descentralizadas (DeFi) apoiado por grandes nomes da indústria de criptomoedas, incluindo a16z Crypto e Coinbase Ventures. 

Diferentemente da maioria das plataformas de empréstimo de criptomoedas, a Goldfinch não exige que os tomadores de empréstimo ofereçam garantias. Em vez disso, eles podem submeter propostas de empréstimo para análise por investidores e auditores, que são liberadas caso as propostas obtenham apoio suficiente. Provedores de liquidez, investidores e auditores recebem juros como recompensa, enquanto os tomadores de empréstimo acessam o capital sem precisar oferecer garantias.

O protocolo entrou em operação na Ethereum em fevereiro de 2021, emitindo inicialmente US$ 1 milhão em empréstimos. A versão 1.1 foi lançada um mês depois, em março de 2021, e a Goldfinch captou US$ 11 milhões em financiamento da Andreessen Horowitz meses depois. Em outubro de 2021, a plataforma firmou parceria com a Nexus Mutual, permitindo que provedores de liquidez e apoiadores comprassem seguro paratracinteligentes. 

De acordo com o terminal de tokens da Coingecko, o protocolo Goldfinch tem uma capitalização de mercado totalmente diluída de US$ 30,5 milhões, um volume de negociação de tokens de US$ 12,4 milhões nos últimos 30 dias e empréstimos ativos totalizando US$ 91,3 milhões.

Em 2023, uma empresa de financiamento de motocicletas da África Oriental chamada Tugende Kenya deixou de pagar um empréstimo em criptomoedas de US$ 5 milhões após supostamente conceder um empréstimo não autorizado à sua empresa matriz sediada em Uganda, o que violou os termos do empréstimo.

A Warbler Labs, empresa controladora da Goldfinch, descobriu que a Tugende Kenya havia desviado quase US$ 2 milhões para sua empresa matriz. A violação foi revelada em dezembro daquele ano, mas os registros da empresa mostram que ela foi relatada no fórum de governança da Goldfinch em fevereiro de 2024.

Outro caso de inadimplência ocorreu em 2024, envolvendo a empresa de crédito privado Lend East, sediada em Singapura, que afirmou ter conseguido pagar apenas cerca de US$ 4,25 milhões de um empréstimo de US$ 10,15 milhões do grupo Goldfinch. O valor era 58% inferior ao valor de reembolso e correspondia a 7,7% do total de empréstimos ativos da Goldfinch. 

O fundo Lend East tinha um prazo de 25 meses, com vencimento em 3 de abril de 2024, oferecendo um rendimento anual de 17% em USDC ou um rendimento anual variável de 28% em GFI. Membros da comunidade do Discord alegaram que US$ 750.000 emprestados da Goldfinch foram usados para pagar outros mutuários, violando o contrato de empréstimo original.

Dezembro marca o início de um período de perdas para os protocolos DeFi devido a ataques cibernéticos.

O ataque à Goldfinch ocorreu apenas 24 horas depois de a Yearn Finance ter sofrido uma violação de segurança que permitiu a emissão ilimitada de tokens yETH, drenando todo o pool de yETH em uma única transação. De acordo com a reportagem , os atacantes geraram tokens yETH praticamente infinitos, trac aproximadamente 1.000 ETH, equivalentes a US$ 3 milhões, que foram então transferidos através da Tornado Cash .

yETH é um token de índice baseado em diversas versões de ETH com liquidez, conhecidas como Derivativos de Staking Líquido Ethereum (LSTs). A vulnerabilidade foi identificada pelo usuário Togbe, do X, que observou "grande volume de transações" em LSTs como Yearn, Rocket Pool, Origin e Dinero.

A Yearn Finance confirmou odent por meio de sua conta oficial X, mas garantiu aos usuários que os Vaults V2 e V3 estavam seguros. Este é o segundo ataque desde 2021, quando a violação do Vault yDAI da Yearn resultou em uma perda de US$ 2,8 milhões, e um script defeituoso em dezembro de 2023 eliminou 63% de uma posição de tesouraria.

A empresa de segurança blockchain CertiK informou no domingo que o setor de criptomoedas sofreu perdas estimadas em US$ 127 milhões devido a ataques cibernéticos e explorações de vulnerabilidades em novembro. O relatório mensal de ameaças da empresa observou que os fundos afetados ultrapassaram US$ 172 milhões, embora aproximadamente US$ 45 milhões tenham sido recuperados posteriormente.

Junte-se a uma comunidade premium de negociação de criptomoedas gratuitamente por 30 dias - normalmente US$ 100/mês.