Imagem da matéria: Hacker rouba Ethereum de projeto DeFi e devolve 80% do valor: "20% é minha gorjeta"
Foto: Shutterstock

A vulnerabilidade que existe no protocolo de cadeia cruzada Multichain ainda não foi eliminada e continua sendo explorada por hackers. Mas nem todos esses fundos foram perdidos para sempre. Um hacker parece ter se arrependido e decidiu devolver parte das criptomoedas, mas não todas.

Em uma mensagem veiculada em uma transação, ele explicou como seria a devolução: 80% das criptomoedas voltariam para as vítimas e 20% permaneceriam como ele, como uma espécie de “gorjeta”.

Publicidade

O anúncio dele diz: “White Hat aqui, me mande a transação que você perdeu, eu devolvo 80%. O resto são gorjetas por eu ter salvado seu dinheiro”. White Hat é como os hackers “do bem” são conhecidos. Geralmente são desenvolvedores que exploram falhas em projetos para aumentar sua segurança ao invés do enriquecimento próprio.

O bug no protocolo coloca em risco os tokens MATIC, AVAX, PERI, OMT, além das versões sintéticas do Ethereum e Binance Coin (wETH e wBNB), de usuários que já interagiram com o projeto DeFi no passado.

Para evitar perder as criptomoedas, tudo que os detentores devem fazer é revogar as permissões desses contratos na sua conta no Multichain, mas nem todos conseguiram agir a tempo.

A falha abriu a brecha para que cerca de R$ 16 milhões em criptomoedas fossem roubadas até agora, conforme divulgou no Twitter o analista Tal Be’ery.

Publicidade

Muitas vítimas procuraram o hacker para pedir ajuda, incluindo um único investidor que perdeu sozinho US$ 1 milhão. Ele escreveu

“Em primeiro lugar, obrigado por pegar o wETH. Eu não estava ciente do hack e percebi a situação apenas porque o wETH nunca chegou à minha carteira após a transação do Cowswap. Considerando o valor em jogo, você aceitaria 50 ETH como uma gorjeta justa?”.

Pouco tempo depois, as criptomoedas voltaram para a carteira dele, menos a recompensa do hacker de US$ 150 mil em Ethereum. 

Na manhã desta quinta-feira (20), o invasor fez uma última transação para dizer que iria parar de explorar o Multichain.

Publicidade

“Devolvi a maior perda para 0x3ee. E vou enviar de volta 63 ETH e manter a mesma porcentagem de gorjeta que a recompensa de bug bounty, que é em torno de 12 ETH. Então, se você acha que esse percentual de recompensa é muito ou pouco, por favor me diga. Ainda existem alguns bots visando [Multichain], mas acho que a maioria dos usuários foi notificada, então eu vou parar de salvar o resto”, concluiu.

O que está acontecendo no Multichain

Embora a vulnerabilidade crítica tenha sido descoberta no início da semana, a equipe do Multichain ainda não publicou um post mortem para detalhar como a exploração foi possível.

Enquanto isso, parece que o projeto tem ainda outras vulnerabilidades para se preocupar, segundo revelou os investigadores da empresa de segurança PeckShield na noite passada (19). 

“Acontece que Anyswap V3, V4 e V5 são todos vulneráveis a outra vulnerabilidade crítica”, diz a mensagem do grupo no Twitter. Eles relatam que de forma silenciosa, o Multichain estava usando uma função privilegiada para drenar os fundos de várias pontes entre blockchains, sendo US$ 38 milhões da AVAX, US$ 5 milhões da Binance Smart Chain e US$ 1,5 milhão do Polygon.

Multichain, no passado conhecido como Anyswap, é protocolo de cadeia cruzada (cross-chain) que permite a comunicação entre tokens de diferentes blockchains no meio DeFi, por isso a vulnerabilidade afeta a ponte entre tantas redes.

Publicidade

Essa estratégia de migrar os fundos, portanto, foi uma forma de evitar que as moedas fossem roubadas caso um hacker explorasse o novo bug descoberto. O analista Tal Be’ery também repercutiu o caso e disse que a equipe do Multichain estava fazendo a coisa certa para impedir o próximo ataque.

A equipe do Multichain afirmou que após a ação o problema foi corrigido e os pools de liquidez afetados foram atualizados para os novos contratos. 

VOCÊ PODE GOSTAR
J. Christopher Giancarlo posa para foto

“Crypto Dad” nega rumores de cargo na SEC: “Já limpei a bagunça de Gensler”

Christopher Giancarlo também rebateu rumores de que estaria buscando cargo cripto no Tesouro dos EUA, alegando que eles “também estavam errados”
Chill Guy art from Phillip Banks

Chill Guy dispara mais de 50% enquanto criador do meme luta contra o ativo

Os primeiros usuários do CHILLGUY obtiveram retornos enormes, com um trader transformando um investimento de US$ 1.000 em mais de US$ 1 milhão
martelo de juiz com logo da ftx ao fundo

FTX processa Binance por US$ 1,7 bilhão e acusa CZ de tentar “destruir” a rival

A ação judicial busca recuperar bilhões de dólares em posse da Binance para pagar os credores da FTX
Imagem da matéria: Rapper 'Razzlekhan' pega 18 meses de prisão por roubo de US$ 10 bilhões em Bitcoin

Rapper ‘Razzlekhan’ pega 18 meses de prisão por roubo de US$ 10 bilhões em Bitcoin

Heather Morgan, também conhecida como ‘Razzlekhan’, foi condenada por seu papel no hack da Bitfinex em 2016