A vulnerabilidade que existe no protocolo de cadeia cruzada Multichain ainda não foi eliminada e continua sendo explorada por hackers. Mas nem todos esses fundos foram perdidos para sempre. Um hacker parece ter se arrependido e decidiu devolver parte das criptomoedas, mas não todas.
Em uma mensagem veiculada em uma transação, ele explicou como seria a devolução: 80% das criptomoedas voltariam para as vítimas e 20% permaneceriam como ele, como uma espécie de “gorjeta”.
O anúncio dele diz: “White Hat aqui, me mande a transação que você perdeu, eu devolvo 80%. O resto são gorjetas por eu ter salvado seu dinheiro”. White Hat é como os hackers “do bem” são conhecidos. Geralmente são desenvolvedores que exploram falhas em projetos para aumentar sua segurança ao invés do enriquecimento próprio.
O bug no protocolo coloca em risco os tokens MATIC, AVAX, PERI, OMT, além das versões sintéticas do Ethereum e Binance Coin (wETH e wBNB), de usuários que já interagiram com o projeto DeFi no passado.
Para evitar perder as criptomoedas, tudo que os detentores devem fazer é revogar as permissões desses contratos na sua conta no Multichain, mas nem todos conseguiram agir a tempo.
A falha abriu a brecha para que cerca de R$ 16 milhões em criptomoedas fossem roubadas até agora, conforme divulgou no Twitter o analista Tal Be’ery.
Muitas vítimas procuraram o hacker para pedir ajuda, incluindo um único investidor que perdeu sozinho US$ 1 milhão. Ele escreveu:
“Em primeiro lugar, obrigado por pegar o wETH. Eu não estava ciente do hack e percebi a situação apenas porque o wETH nunca chegou à minha carteira após a transação do Cowswap. Considerando o valor em jogo, você aceitaria 50 ETH como uma gorjeta justa?”.
Leia Também
Pouco tempo depois, as criptomoedas voltaram para a carteira dele, menos a recompensa do hacker de US$ 150 mil em Ethereum.
Na manhã desta quinta-feira (20), o invasor fez uma última transação para dizer que iria parar de explorar o Multichain.
“Devolvi a maior perda para 0x3ee. E vou enviar de volta 63 ETH e manter a mesma porcentagem de gorjeta que a recompensa de bug bounty, que é em torno de 12 ETH. Então, se você acha que esse percentual de recompensa é muito ou pouco, por favor me diga. Ainda existem alguns bots visando [Multichain], mas acho que a maioria dos usuários foi notificada, então eu vou parar de salvar o resto”, concluiu.
O que está acontecendo no Multichain
Embora a vulnerabilidade crítica tenha sido descoberta no início da semana, a equipe do Multichain ainda não publicou um post mortem para detalhar como a exploração foi possível.
Enquanto isso, parece que o projeto tem ainda outras vulnerabilidades para se preocupar, segundo revelou os investigadores da empresa de segurança PeckShield na noite passada (19).
“Acontece que Anyswap V3, V4 e V5 são todos vulneráveis a outra vulnerabilidade crítica”, diz a mensagem do grupo no Twitter. Eles relatam que de forma silenciosa, o Multichain estava usando uma função privilegiada para drenar os fundos de várias pontes entre blockchains, sendo US$ 38 milhões da AVAX, US$ 5 milhões da Binance Smart Chain e US$ 1,5 milhão do Polygon.
Multichain, no passado conhecido como Anyswap, é protocolo de cadeia cruzada (cross-chain) que permite a comunicação entre tokens de diferentes blockchains no meio DeFi, por isso a vulnerabilidade afeta a ponte entre tantas redes.
Essa estratégia de migrar os fundos, portanto, foi uma forma de evitar que as moedas fossem roubadas caso um hacker explorasse o novo bug descoberto. O analista Tal Be’ery também repercutiu o caso e disse que a equipe do Multichain estava fazendo a coisa certa para impedir o próximo ataque.
A equipe do Multichain afirmou que após a ação o problema foi corrigido e os pools de liquidez afetados foram atualizados para os novos contratos.