Ataque à ponte entre Polkadot e Ethereum foi 10x pior do que relatado

A exploração que levou à emissão de 1 bilhão de tokens Polkadot (DOT) no início desta semana é ainda pior do que o relatado inicialmente, de acordo com a equipe por trás do Hyperbridge.

O que inicialmente foi planejado ser uma perda de tokens no valor de US$ 237.000 (R$ 1,18 milhão), ligada à ponte entre as redes Polkadot e Ethereum, na verdade se aproxima de US$ 2,5 milhões (R$ 12,5 milhões) — um aumento de mais de 10 vezes em relação ao relatório inicial.

“Um invasor explorou uma vulnerabilidade na lógica de verificação de provas da Merkle Mountain Range (MMR), permitindo que o prejudicado emitisse ativos e drenasse os ativos em custódia no Token Gateway”, publicou a equipe em um relatório pós-ataque na quinta-feira.

“Nossa estimativa pública inicial de perda real era de aproximadamente US$ 237.000, com base na venda imediata de DOT na ponte Ethereum”, acrescenta. “Descobrimos mais tarde que esse número não representava a situação completa.”

Além dos US$ 237.000 em perdas observáveis, um contrato inteligente foi explorado para obter 245 ETH, ou cerca de US$ 561.000, horas antes da emissão maliciosa de tokens DOT. Além disso, três blockchains conectadas — Base, Arbitrum e BNB Chain — também foram afetadas, contradizendo o relatório inicial da equipe, que afirmava que apenas o token DOT encapsulado na rede Ethereum havia sido afetado.

Leia mais: Hacker encontra brecha e cria 1 bilhão de tokens Polkadot (DOT)

“Após a análise da atividade do atacante em cada uma das quatro blockchains, a natureza bifásica do ataque e as perdas dos fundos de incentivo associados, a perda total revisada é de aproximadamente US$ 2,5 milhões, denominada em ETH e DOT no momento da exploração”, escreveu a equipe.

Fundos roubados foram para Binance

Os fundos roubados foram rastreados até um endereço de depósito na Binance, e a empresa contatou a equipe de compliance da exchange centralizada e as autoridades policiais competentes na tentativa de congelamento e recuperação dos ativos roubados — mas não espera uma resolução em breve.

“Estamos explorando todos os canais disponíveis, mas o prazo realista para uma recuperação significativa em um caso como este é medido em meses e pode se estender até um ano”, acrescentou.

Embora seu objetivo seja ressarcir todos os usuários afetados, restituindo os fundos comprometidos, o protocolo indicou que está “comprometido com uma alocação estruturada de tokens BRIDGE para cobrir as perdas residuais”, caso não consiga fazê-lo.

Mas o BRIDGE, seu token nativo, mantém volumes extremamente baixos, tendo sido negociado pela última vez a US$ 1.800 em 24 horas, quando chegou a ser negociado por cerca de US$ 0,006 em 29 de março, de acordo com dados da CoinGecko. Nesse preço, o token tinha uma capitalização de mercado de cerca de US$ 858.000, cerca de um terço das perdas totais decorrentes da exploração.

A funcionalidade de interoperabilidade entre as quatro blockchains afetadas permanece suspensa e só será retomada após a implementação e auditoria de uma correção.

“Isso não altera nossa verdade de que a interoperabilidade entre blockchains é segura por meio de provas criptográficas”, escreveu a equipe do protocolo.

“O que essa exploração deixou claro, de forma dispendiosa, é que a lógica de verificação precisa de auditorias mais frequentes e testes adversários em todas as camadas da arquitetura”, acrescentou. “Esse será o padrão sob o qual o Token Gateway operará daqui para frente.”

* Traduzido e editado com autorização do Decrypt.

Liquidez sem vender as suas criptomoedas: se você investe pensando no longo prazo, sabe que desmontar posição tem custo. Com o CriptoCrédito do MB, seus criptos viram garantia para um empréstimo liberado de forma rápida. Dinheiro em até 5 minutos, sem burocracia, direto no app! Conheça agora!