Um hacker explorou um bug em um token de jogo recém-lançado na rede Blast – Super Sushi Samurai – para roubar cerca de US$ 4,6 milhões em Ethereum em 21 de março – menos de um mês após seu lançamento.
A exploração resultou em uma queda de aproximadamente 99% no valor do token após um despejo de token não autorizado. O invasor extraiu 1.310 ETH do principal pool de liquidez do token, dobrando seu saldo repetidamente e depois vendendo tudo, de acordo com os detalhes que Certik compartilhou com o CryptoSlate.
Super Sushi Samurai estava programado para lançar seu jogo web3 no mesmo dia. O incidente pode ter sido conduzido por um hacker de chapéu branco atualmente em contato com a equipe do Super Sushi Samurai. No entanto, os detalhes não estão claros até o momento.
Bug de duplicação
As investigações sobre o incidente revelaram que uma parte não autorizada adquiriu 690 milhões de tokens SSS e posteriormente iniciou uma série de transações através de um contrato de ataque especificamente concebido para este fim.
Ao explorar uma vulnerabilidade na função _update() da plataforma, o invasor conseguiu duplicar os tokens em sua posse 25 vezes. Essa manipulação inflou a quantidade de tokens para 11,5 trilhões, que acabou sendo trocada por aproximadamente 1.310 ETH, equivalente a cerca de US$ 4.590.827.
A exploração aproveitou uma falha no mecanismo de atualização de saldo do contrato inteligente, que não refletia com precisão as alterações quando os tokens eram transferidos para o mesmo endereço. Esse descuido permitiu o aumento exponencial no saldo de tokens do invasor sem transações legítimas.
Em fevereiro, o mesmo bug foi usado para explorar um token baseado em Ethereum chamado MINER. O hack resultou na perda de 168,8 ETH.
Esforços de recuperação
Após a violação, o Super Sushi Samurai se envolveu com sua comunidade, fornecendo atualizações e garantias por meio de seu canal oficial do Telegram e outras plataformas de mídia social.
A equipe disse que está tentando entrar em contato com o explorador, e o tweet mais recente da plataforma de jogos indica que um hacker de chapéu branco entrou em contato sobre o incidente. No entanto, não está claro se o chapéu branco é responsável pela exploração ou por ajudar a recuperar os fundos até o momento.
Super Sushi Samurai disse:
“Estamos trabalhando com o chapéu branco no retorno seguro dos fundos. Uma atualização e post-mortem se seguirão.”
O endereço que contém os fundos comprometidos foi divulgado publicamente num esforço para facilitar o rastreamento e potencial recuperação dos ativos perdidos:
“0x786C8f95C17BB990a040dc4D6539B01FC1b72842”
Os esforços de comunicação da equipa visam manter as partes interessadas informadas sobre a evolução do incidente e as medidas para resolver a vulnerabilidade de segurança.
Este incidente destaca a importância crítica de protocolos de segurança robustos no setor criptográfico, onde a natureza digital dos ativos os torna vulneráveis a tais explorações. Também destaca os desafios contínuos das plataformas na proteção contra ameaças cibernéticas sofisticadas.
