Um ataque devastador e de baixíssimo custo abalou a plataforma de finanças descentralizadas (DeFi) MobiusDAO no último sábado (11). Com um depósito simbólico de apenas 0,001 BNB — equivalente a cerca de US$ 0,65, ou seja, menos de 1 dólar —, um hacker conseguiu explorar um contrato inteligente na BNB Chain, cunhar trilhões de tokens e desviar mais de US$ 2,15 milhões.
Na segunda-feira (12), a Mobius, cujo protocolo é voltado à tokenização de ativos do mundo real (RWA), reconheceu a exploração, revelada primeiramente pela empresa de segurança blockchain Cyver.
“Prezado usuário. A MobiusDAO foi hackeada às 11h30, horário de Dubai, em 11 de maio. Devido à influência do mecanismo de consenso bizantino da BSC, eles perderam instantaneamente cerca de US$ 2,15 milhões”, comunicou a equipe em um post no X, ressaltando posteriormente que apenas a consulta básica está habilitada. “Compras, penhoras e saques de títulos estão temporariamente suspensos.”
Conforme explicou a Cyver, que detectou a implantação do contrato malicioso apenas dois minutos antes do início da exploração, o invasor executou diversas transações via o contrato implantado, direcionando os ataques ao endereço da MobiusDAO e manipulando a emissão do token nativo MBU.
De acordo com a CertiK, que também monitorou o incidente, o hacker cunhou cerca de 9,7 quatrilhões de tokens BEP-20 MBU, trocando-os rapidamente por stablecoins. Logo em seguida, os fundos foram encaminhados ao mixer Tornado Cash, uma plataforma usada para dificultar o rastreamento de transações em blockchain.
Leia Também
Como resultado direto da invasão, o token MBU perdeu todo o seu valor, colapsando a zero, segundo dados do DEXscreener.
Medidas de segurança
Nesta manhã de terça-feira, a equipe da Mobius afirmou que está tomando as seguintes medidas:
“Anúncio de Manutenção de Segurança e Progresso do Projeto da MobiusDAO:
- Em 13 de maio (horário de Dubai), será concluído o processo de tratamento da anomalia nos dados do sistema. Os dados colaterais anteriores ao ataque serão preservados. Um rendimento com juros compostos de 0,5% será distribuído continuamente duas vezes ao dia.
As transações anormais serão interceptadas em tempo real e o projeto passará por auditorias realizadas por múltiplas empresas especializadas antes de ser relançado. - Função da dApp: A função básica de consulta está habilitada. As funções de compra, vínculo de colateral (bond pledge) e saque estão temporariamente suspensas. O prazo para retomada será informado separadamente.
- Atualização do Sistema de Segurança: Serão introduzidos mecanismos de multiassinatura e time-lock, reforçando a gestão de permissões dos contratos inteligentes. Além disso, será implantado um sistema de monitoramento e alerta precoce diretamente na blockchain.”
- Você costuma enviar dinheiro para o exterior? O MB está estudando uma solução de pagamentos que promete tornar as transferências com cripto muito mais simples. Clique aqui para responder uma pesquisa e ajudar a construir algo que faça sentido para você!
