$145K Perdido enquanto Hackers usam Merkl para lançar esquemas DeFi não verificados

Hacker encontraram uma nova maneira de explorar os usuários de finanças descentralizadas (DeFi). Desta vez, eles usaram a Merkl, uma plataforma de incentivos DeFi tudo-em-um, para criar campanhas falsas e não verificadas e drenar os depósitos dos usuários. O golpe visou usuários na Sonic através do protocolo Euler. Já causou perdas de mais de $145,000.

Hackers Criam Campanhas Falsas de Alto Rendimento

De acordo com o usuário DeFi YAM, um agente malicioso aproveitou a configuração aberta do Merkl para criar campanhas falsas. Que pareciam oferecer retornos de APR de três dígitos. O golpe convidou os usuários a depositar USDC em o que parecia ser um cofre legítimo da Euler na Sonic. No entanto, uma vez que os usuários depositaram seus fundos, o atacante os drenou completamente.

Porque o Euler Finance é um protocolo sem permissões, qualquer pessoa pode criar mercados sem aprovação. O atacante usou esta característica para lançar um mercado falso. Usando um token chamado scUSD como colateral e USDC como dívida. Eles então manipularam o preço do oráculo, um feed de dados chave usado em DeFi, definindo-o para absurdos $1 milhões por token. Isso lhes permitiu emprestar 700.000 USDC contra um único scUSD. Isso efetivamente lhes dá controle total dos fundos do cofre.

Como o Esquema Funcionou

Uma vez que o mercado falso estava ativo, o atacante lançou uma campanha não verificada no Merkl. Ele está promovendo rendimentos extremamente altos para atrair depósitos. Os usuários que depositaram USDC na campanha tiveram seus fundos emprestados, trocados por ETH. Em seguida, foram transferidos para o Projeto RAILGUN, um protocolo de privacidade frequentemente usado para ocultar transações.

Os dados on-chain mostram o endereço da carteira do operador principal como 0x8ba913e…, com os fundos eventualmente enviados para 0xa86399… antes de desaparecerem no RAILGUN. Curiosamente, um usuário, identificado como 0xc0f8fe…, conseguiu retirar o seu depósito antes que o atacante o drenasse. Provavelmente porque o hacker não estava a monitorizar ativamente o cofre.

Reações da Comunidade DeFi

Após a descoberta, a YAM instou os utilizadores a terem cautela ao interagir com campanhas Merkl não verificadas. Eles também pediram à equipe da Merkl para dificultar o depósito em tais campanhas, adicionando avisos pop-up mais fortes.

Michael Bentley, co-fundador e CEO da Euler Labs, respondeu confirmando. Que o cofre em questão estava claramente marcado como não verificado e rotulado como um risco de segurança. Ele observou que o site da Euler só permite o acesso a cofres não verificados após os usuários ativarem manualmente uma opção reconhecendo o risco. “Agora estamos bloqueando permanentemente todos os links para este cofre em particular para evitar mais uso,” acrescentou Bentley.

Os membros da comunidade também levantaram questões sobre como os usuários de DeFi podem verificar se o oráculo de um mercado é legítimo. YAM explicou que os oráculos fornecem dados de preços do mundo real para aplicativos DeFi. Eles são frequentemente controlados pelos curadores do mercado e devem ser configurados com cuidado. Um pequeno erro, como um decimal incorreto ou um multisig não seguro, pode abrir portas para grandes explorações como esta.

Chamadas por Salvaguardas Mais Fortes

O incidente destaca um problema recorrente no DeFi. O equilíbrio entre inovação sem permissão e segurança do usuário. Plataformas como Merkl e Euler permitem que qualquer pessoa crie ou junte-se a mercados livremente. Mas essa abertura também dá espaço para os atacantes agirem. Embora os projetos marquem claramente campanhas não verificadas. O número crescente de fraudes mostra que avisos sozinhos podem não ser suficientes.

Os usuários estão agora a pedir mais fricção, como verificações de verificação obrigatórias ou confirmações extras, para proteger os depósitos. Atualmente, os especialistas estão a aconselhar os usuários a interagir apenas com campanhas verificadas e a verificar os detalhes do contrato antes de depositar fundos. A exploração de $145,000 serve como um lembrete adicional de que, mesmo no mundo aberto do DeFi, a cautela é a melhor defesa.