Imagem da matéria: Game da Web3 sofre ataque de R$ 4 milhões e desabilita a ponte com Arbitrum
Game Aurory lembra batalhas do Pokémon (Imagem: Aurory)

O Aurory, um jogo de batalhas no estilo Pokémon, sofreu um exploit na noite de domingo (17) que permitiu ao hacker retirar cerca de 600 mil tokens AURY no valor aproximado de US$ 830 mil (R$ 4 milhões) no momento do ataque. Os desenvolvedores do game desativaram sua ponte de blockchain SyncSpace que o conecta à Solana e à rede de escalonamento Arbitrum do Ethereum.

Procurado para comentar, o produtor executivo do Aurory, Jonathan Campeau, disse ao Decrypt que a equipe está trabalhando atualmente para lançar um patch global para seus serviços de back-end a fim de resolver o problema. 

Publicidade

“Foi um ataque ‘race condition’ em nosso marketplace off-chain”, explicou Campeau (uma vulnerabilidade ‘race condition’ geralmente ocorre quando a aplicação tem acesso aos mesmos dados compartilhados e tenta alterar variáveis dentro dela simultaneamente). “O usuário conseguiu enviar várias solicitações de compra simultaneamente, o vendedor recebeu o dobro do valor e o comprador foi debitado apenas uma vez.” 

A invasão do marketplace causou uma queda de 80% na liquidez da AURY-USDC na exchange descentralizada Camelot, e o preço do AURY caiu cerca de 17% desde o início do domingo, de acordo com os dados do CoinGecko, o que significa que o valor aproximado de US$ 830 mil dos tokens desviados agora seria de cerca de US$ 690 mil. Depois de sofrer uma queda para cerca de US$ 0,95 por token AURY, seu preço se recuperou para cerca de US$ 1,15.

A equipe do Aurory explicou ainda no X que a exploração do marketplace permitiu que o criminoso retirasse fundos da carteira de uma equipe de desenvolvedores e transferisse os tokens para a Arbitrum. Nenhum fundo de usuário ou NFTs foi roubado ou está atualmente em risco, de acordo com o estúdio.

“Com o lançamento do Seekers, tivemos muitos olhos voltados para nós e, infelizmente, muitos agentes mal-intencionados também estão tentando invadir nossos sistemas”, disse Campeau ao Decrypt, referindo-se à recente expansão do jogo Seekers of Tokane Aurory anunciada no mês passado.

Publicidade

A plataforma do Aurory já havia sido auditada por uma empresa de cibersegurança, a Ottersec, que não sinalizou o problema, disse Campeau ao Decrypt.

“Esse tipo de ataque não se enquadra em seu escopo, pelo que me foi dito”, disse Campeau. O Decrypt entrou em contato com a Ottersec para comentar o assunto.

Como muitos ataques e explorações de criptomoedas, o que aconteceu com o Aurory poderia ter sido evitado, disse David Schwed, COO da empresa de cibersegurança Halborn, ao Decrypt.

“Se um invasor conseguisse explorar o marketplace, teoricamente a vulnerabilidade poderia ser descoberta e evitada”, argumentou Schwed, acrescentando que uma auditoria de terceiros não é suficiente por si só para manter altos níveis de segurança da plataforma.

Publicidade

Depois que o exploit for corrigido, a equipe do Aurory espera colocar sua ponte novamente on-line “nos próximos dias”.

Este ano, o Aurory continuou a desenvolver seu ecossistema de jogos com o lançamento de Seekers of Tokane na Epic Games Store. Embora o estúdio tenha lançado primeiro NFTs na Solana, ele expandiu para Arbitrum em julho, adotando uma abordagem multi-chain para jogos de blockchain.

*Traduzido por Gustavo Martins com autorização do Decrypt.

VOCÊ PODE GOSTAR
moeda de bitcoin com bandeira do brasil ao fundo (2)

Fundos de criptomoedas do Brasil captam R$ 25 milhões na semana

Os EUA já se consolidaram como o principal mercado para produtos de investimento em ativos digitais, enquanto a Suíça está bem atrás
moedas ouradas de bitcoin e ethereum

Bitcoin segue flertando com US$ 100 mil, enquanto Ethereum se mantém em US$ 4 mil

Após entrar em território desconhecido de seis dígitos, o preço do Bitcoin enfrentou uma queda massiva, mas conseguiu se recuperar
celular com logo do itau ao lado de criptomoedas e bitcoin

Itaú libera compra de Bitcoin no app, mas sem saques para carteira externa

O “wallet out”, que permite o envio de criptomoedas do banco para uma carteira externa, ainda está em fase de avaliação