Gaming Token Exploited.jpg

Novo token de jogo no Blast explorado por US$ 4,6 milhões – hacker de chapéu branco envolvido

Um hacker explorou um bug em um token de jogo recém-lançado na rede Blast – Super Sushi Samurai – para roubar cerca de US$ 4,6 milhões em Ethereum em 21 de março – menos de um mês após seu lançamento.

A exploração resultou em uma queda de aproximadamente 99% no valor do token após um despejo de token não autorizado. O invasor extraiu 1.310 ETH do principal pool de liquidez do token, dobrando seu saldo repetidamente e depois vendendo tudo, de acordo com os detalhes que Certik compartilhou com o CryptoSlate.

Super Sushi Samurai estava programado para lançar seu jogo web3 no mesmo dia. O incidente pode ter sido conduzido por um hacker de chapéu branco atualmente em contato com a equipe do Super Sushi Samurai. No entanto, os detalhes não estão claros até o momento.

Bug de duplicação

As investigações sobre o incidente revelaram que uma parte não autorizada adquiriu 690 milhões de tokens SSS e posteriormente iniciou uma série de transações através de um contrato de ataque especificamente concebido para este fim.

Ao explorar uma vulnerabilidade na função _update() da plataforma, o invasor conseguiu duplicar os tokens em sua posse 25 vezes. Essa manipulação inflou a quantidade de tokens para 11,5 trilhões, que acabou sendo trocada por aproximadamente 1.310 ETH, equivalente a cerca de US$ 4.590.827.

A exploração aproveitou uma falha no mecanismo de atualização de saldo do contrato inteligente, que não refletia com precisão as alterações quando os tokens eram transferidos para o mesmo endereço. Esse descuido permitiu o aumento exponencial no saldo de tokens do invasor sem transações legítimas.

Em fevereiro, o mesmo bug foi usado para explorar um token baseado em Ethereum chamado MINER. O hack resultou na perda de 168,8 ETH.

Esforços de recuperação

Após a violação, o Super Sushi Samurai se envolveu com sua comunidade, fornecendo atualizações e garantias por meio de seu canal oficial do Telegram e outras plataformas de mídia social.

A equipe disse que está tentando entrar em contato com o explorador, e o tweet mais recente da plataforma de jogos indica que um hacker de chapéu branco entrou em contato sobre o incidente. No entanto, não está claro se o chapéu branco é responsável pela exploração ou por ajudar a recuperar os fundos até o momento.

Super Sushi Samurai disse:

“Estamos trabalhando com o chapéu branco no retorno seguro dos fundos. Uma atualização e post-mortem se seguirão.”

O endereço que contém os fundos comprometidos foi divulgado publicamente num esforço para facilitar o rastreamento e potencial recuperação dos ativos perdidos:

“0x786C8f95C17BB990a040dc4D6539B01FC1b72842”

Os esforços de comunicação da equipa visam manter as partes interessadas informadas sobre a evolução do incidente e as medidas para resolver a vulnerabilidade de segurança.

Este incidente destaca a importância crítica de protocolos de segurança robustos no setor criptográfico, onde a natureza digital dos ativos os torna vulneráveis ​​a tais explorações. Também destaca os desafios contínuos das plataformas na proteção contra ameaças cibernéticas sofisticadas.

Fonte

Compartilhe:

Facebook
Twitter
LinkedIn
Pinterest
Pocket
WhatsApp

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *