Um hacker conseguiu explorar uma brecha na plataforma Carnival no sábado (26) e roubou 3.087 ethers, que equivalem no momento da redação desta reportagem a US$ 3,6 milhões. Porém, já nesta segunda-feira (27) a empresa pediu que ele enviasse de volta metade do butim – oferecendo a outra metade como “recompensa” por descobrir a falha e para evitar processos judiciais. O criminoso aceitou o pedido.
A movimentação foi documentada pelo perfil da PeckShield, empresa especializada em análise de dados e segurança de blockchain.
A Carnival é uma galeria de tokens não-fungíveis (NFTs) e o ataque não é novo no mundo cripto: o hacker assinou uma espécie de compromisso para comprar um NFT e usou o token como garantia para tomar empréstimos.
Como o NFT não era dele, as criptomoedas foram tomadas e não havia nada para tapar o buraco feito. Como a PeckShield explica, a falha do protocolo está em não verificar se a promessa de comprar o NFT foi cumprida, ou seja, se ele foi de fato sacado.
Pedido de devolução
O curioso é a comunicação aberta entre a empresa e o hacker. A Carnival mandou uma mensagem dizendo que 1.500 ethers eram aceitáveis, mas pedindo que ele enviasse o restante de volta.
O hacker aceitou e pediu que a empresa anunciasse que os 1.500 ETH foram aceitos como serviço de caça de falhas no sistema e que se comprometia a não buscar ações judiciais contra o autor do ataque.
Clique aqui para ver a transação na blockchain na qual o hacker devolve parte do dinheiro – ele inclusive nomeou seu endereço como “Carnivalexploiter”, que na tradução para português seria “exploradora da Carnival”.
Abaixo, o fio de tuítes da PeckShield explicando como o ataque aconteceu:
Leia Também
Pega e devolve (mas não tudo)
O fenômeno está longe ser novidade no universo das criptomoedas. Em agosto de 2021, a Poly Network confirmou que todos os seus ativos roubados restantes em ethereum foram devolvidos pelo hacker que atacou a rede, subtraindo cerca de US$ 611 milhões em criptomoedas.
Antes da devolução, porém, a equipe da Poly havia oferecido ao invasor, mediante a devolução integral dos fundos, uma recompensa de US$ 500 mil pela detecção do bug, o que foi rejeitada por ele.
Em janeiro deste ano, um hacker que atacou a cadeia cruzada Multichain concordou em devolver 80% do que havia pego.
Já agora em junho, o hacker que roubou o equivalente a US$ 30 milhões em tokens do Optimism (OP) se arrependeu do que fez e resolveu devolver a maior parte do dinheiro roubado.
Na manhã do dia 10 de junho, ele enviou 17 milhões de OP para a equipe da Optimism por meio de 17 transações de 1 milhão de OPs cada.
O invasor ainda possui 1 milhão de OP em sua posse, mas não está claro se ele devolverá essas moedas ou ficará com elas como recompensa a si mesmo.
