Imagem da matéria: Hacker rouba Ethereum de projeto DeFi e devolve 80% do valor: "20% é minha gorjeta"
Foto: Shutterstock

A vulnerabilidade que existe no protocolo de cadeia cruzada Multichain ainda não foi eliminada e continua sendo explorada por hackers. Mas nem todos esses fundos foram perdidos para sempre. Um hacker parece ter se arrependido e decidiu devolver parte das criptomoedas, mas não todas.

Em uma mensagem veiculada em uma transação, ele explicou como seria a devolução: 80% das criptomoedas voltariam para as vítimas e 20% permaneceriam como ele, como uma espécie de “gorjeta”.

Publicidade

O anúncio dele diz: “White Hat aqui, me mande a transação que você perdeu, eu devolvo 80%. O resto são gorjetas por eu ter salvado seu dinheiro”. White Hat é como os hackers “do bem” são conhecidos. Geralmente são desenvolvedores que exploram falhas em projetos para aumentar sua segurança ao invés do enriquecimento próprio.

O bug no protocolo coloca em risco os tokens MATIC, AVAX, PERI, OMT, além das versões sintéticas do Ethereum e Binance Coin (wETH e wBNB), de usuários que já interagiram com o projeto DeFi no passado.

Para evitar perder as criptomoedas, tudo que os detentores devem fazer é revogar as permissões desses contratos na sua conta no Multichain, mas nem todos conseguiram agir a tempo.

A falha abriu a brecha para que cerca de R$ 16 milhões em criptomoedas fossem roubadas até agora, conforme divulgou no Twitter o analista Tal Be’ery.

Publicidade

Muitas vítimas procuraram o hacker para pedir ajuda, incluindo um único investidor que perdeu sozinho US$ 1 milhão. Ele escreveu

“Em primeiro lugar, obrigado por pegar o wETH. Eu não estava ciente do hack e percebi a situação apenas porque o wETH nunca chegou à minha carteira após a transação do Cowswap. Considerando o valor em jogo, você aceitaria 50 ETH como uma gorjeta justa?”.

Pouco tempo depois, as criptomoedas voltaram para a carteira dele, menos a recompensa do hacker de US$ 150 mil em Ethereum. 

Na manhã desta quinta-feira (20), o invasor fez uma última transação para dizer que iria parar de explorar o Multichain.

Publicidade

“Devolvi a maior perda para 0x3ee. E vou enviar de volta 63 ETH e manter a mesma porcentagem de gorjeta que a recompensa de bug bounty, que é em torno de 12 ETH. Então, se você acha que esse percentual de recompensa é muito ou pouco, por favor me diga. Ainda existem alguns bots visando [Multichain], mas acho que a maioria dos usuários foi notificada, então eu vou parar de salvar o resto”, concluiu.

O que está acontecendo no Multichain

Embora a vulnerabilidade crítica tenha sido descoberta no início da semana, a equipe do Multichain ainda não publicou um post mortem para detalhar como a exploração foi possível.

Enquanto isso, parece que o projeto tem ainda outras vulnerabilidades para se preocupar, segundo revelou os investigadores da empresa de segurança PeckShield na noite passada (19). 

“Acontece que Anyswap V3, V4 e V5 são todos vulneráveis a outra vulnerabilidade crítica”, diz a mensagem do grupo no Twitter. Eles relatam que de forma silenciosa, o Multichain estava usando uma função privilegiada para drenar os fundos de várias pontes entre blockchains, sendo US$ 38 milhões da AVAX, US$ 5 milhões da Binance Smart Chain e US$ 1,5 milhão do Polygon.

Multichain, no passado conhecido como Anyswap, é protocolo de cadeia cruzada (cross-chain) que permite a comunicação entre tokens de diferentes blockchains no meio DeFi, por isso a vulnerabilidade afeta a ponte entre tantas redes.

Publicidade

Essa estratégia de migrar os fundos, portanto, foi uma forma de evitar que as moedas fossem roubadas caso um hacker explorasse o novo bug descoberto. O analista Tal Be’ery também repercutiu o caso e disse que a equipe do Multichain estava fazendo a coisa certa para impedir o próximo ataque.

A equipe do Multichain afirmou que após a ação o problema foi corrigido e os pools de liquidez afetados foram atualizados para os novos contratos. 

VOCÊ PODE GOSTAR
Imagem da matéria: Ethereum Rio: Começa hoje evento que promove ecossistema da segunda maior criptomoeda do mundo

Ethereum Rio: Começa hoje evento que promove ecossistema da segunda maior criptomoeda do mundo

Evento Ethereum Rio ocorre entre os dias 13 e 15 de maio no Porto Maravalley, Rio de Janeiro
Imagem da matéria: Trader transforma US$ 27 mil em US$ 2 milhões ao antecipar alta da GameStop

Trader transforma US$ 27 mil em US$ 2 milhões ao antecipar alta da GameStop

O súbito ressurgimento das ações “memes” nesta semana rendeu uma pequena fortuna aos traders que nunca desistiram das loucuras de 2021
Fachada da GameStop em Tyler no Texas

GameStop e AMC desabam com fim da euforia do retorno de Roaring Kitty

As ações memes da GameStop e AMC caíram drasticamente após a abertura dos mercados dos EUA na quinta-feira, recuando pelo menos 15%
Imagem da matéria: As criptomoedas estão se tornando políticas – e a Consensys quer ficar fora disso

As criptomoedas estão se tornando políticas – e a Consensys quer ficar fora disso

Enquanto outras empresas gastam milhões em candidatos pró-cripto, Joe Lubin diz ao Decrypt que a Consensys resistiu ao impulso