Michael Patryn e a crise de segurança na UwU Lend: o ataque de 20 milhões de dólares

O protocolo de empréstimos UwU Lend sofreu recentemente um ataque que resultou na perda de 20 milhões de dólares. Por trás desta plataforma encontra-se Michael Patryn, empresário conhecido pelo seu pseudónimo 0xSifu, que propôs uma compensação aos atacantes como parte de um acordo para recuperar os fundos roubados. Este incidente volta a evidenciar os riscos persistentes nas finanças descentralizadas.

Quem é Michael Patryn: De QuadrigaCX a 0xSifu

Michael Patryn ganhou notoriedade no ecossistema cripto por ser cofundador da QuadrigaCX, uma bolsa de criptomoedas canadiana que desmoronou em 2018 após um colapso associado a fraudes. Patryn tinha-se afastado da empresa dois anos antes de ela fechar definitivamente. Anos depois, sob o pseudónimo 0xSifu, reaparece no espaço DeFi como responsável de tesouraria da Wonderland, um protocolo que ganhou popularidade mas cujo token caiu em janeiro de 2022 quando foi revelada a sua verdadeira identidade.

Com esta história complexa no seu currículo, Michael Patryn lançou UwU Lend em 2022, desenhando a plataforma como uma variante do protocolo Aave, que na altura mantinha mais de 20 mil milhões de dólares em depósitos de utilizadores, posicionando-se como o segundo protocolo mais importante do setor.

O ataque ao protocolo: oráculos manipuláveis e flash loans

O hacking ocorreu através de uma combinação sofisticada de duas vulnerabilidades técnicas. O atacante aproveitou-se do uso de oráculos de preços facilmente manipuláveis que forneciam ao UwU informações sobre o valor de diversos tokens. Segundo a análise da Blocksec, uma firma especializada em cibersegurança de criptomoedas, o perpetrador também utilizou um empréstimo rápido massivo (estimado em aproximadamente 4 mil milhões de dólares) para explorar estas fraquezas do protocolo.

“O atacante emprestou uma quantidade enorme de ativos”, explicou Matthew Jiang, diretor de serviços de segurança da Blocksec. “Praticamente tomou emprestado todos os ativos disponíveis na cadeia que podem ser utilizados em empréstimos rápidos”. Esta combinação permitiu ao criminoso desviar cerca de 20 milhões de dólares da plataforma.

Os empréstimos rápidos ou flash loans são operações que permitem tomar créditos sem garantia, com a condição de que devem ser reembolsados dentro da mesma transação na blockchain. Embora estes mecanismos sejam úteis para operações legítimas de arbitragem, também têm sido explorados por atores maliciosos para desviar liquidez de protocolos DeFi vulneráveis.

Proposta de compensação e a realidade dos ataques DeFi

Face ao incidente, Michael Patryn propôs um incentivo pouco convencional: se os atacantes devolvessem aproximadamente 16 milhões de dólares em criptomoedas, o protocolo comprometer-se-ia a não avançar com ações legais nem cooperar com as autoridades responsáveis pela aplicação da lei. Patryn ofereceu uma recompensa de 20% dos fundos recuperados como incentivo adicional.

“Estamos a oferecer uma compensação de chapéu branco de 20% de qualquer fundo obtido”, comunicou Patryn através de uma mensagem na Ethereum. “Não enfrentarão qualquer risco legal se aceitarem este acordo, nem haverá participação de autoridades”.

Esta tática é relativamente comum no ecossistema cripto, onde os custos e a complexidade de recuperar tokens roubados representam um desafio considerável. No entanto, os atacantes frequentemente rejeitam estas ofertas, embora existam casos notáveis de aceitação.

A tendência crescente de ataques através de flash loans

UwU Lend não é um caso isolado. Euler Finance, um protocolo de empréstimos na Ethereum, experimentou um ataque semelhante que inicialmente resultou em perdas de 197 milhões de dólares, embora posteriormente o atacante devolvesse 85% dos fundos roubados. Outros exemplos recentes incluem o hacking da Sonne Finance por 20 milhões de dólares há vários meses, e o do protocolo Hedgey por 44 milhões de dólares na primeira metade do ano.

Segundo dados compilados pela DefiLlama, durante os primeiros cinco meses do último ano fiscal, os atacantes retiraram aproximadamente 560 milhões de dólares de protocolos DeFi, representando um aumento de 32% em relação ao mesmo período do ano anterior. Esta tendência sublinha a vulnerabilidade persistente das plataformas descentralizadas face a exploits de segurança sofisticados.

O caso de Michael Patryn e UwU Lend reflete como, mesmo com antecedentes questionáveis na indústria, os empresários cripto continuam a lançar novos projetos. A segurança destes protocolos continua a ser um desafio crítico que exige maior atenção tanto de desenvolvedores como de reguladores.