Hackers roubam US$ 100 milhões da blockchain vinculada à Binance

Hackers roubam US$ 100 milhões da blockchain vinculada à Binance. A Binance, perdeu pelo menos US$ 100 milhões em um hack.

De acordo com o CEO da Binance, Changpeng Zhao, os hackers exploraram uma vulnerabilidade no BSC Token Hub, uma ponte que facilita a transferência de ativos entre duas blockchains da Binance – BNB Beacon Chain e BNB Smart Chain. 

A exploração no BSC Token Hub permitiu que hackers cunhassem 2 milhões de tokens digitais da Binance no valor de aproximadamente US$ 570 milhões. Em entrevista à CNBC, Zhao disse que nenhum usuário perdeu seu dinheiro porque os hackers estavam tentando desviar apenas esses tokens extras.

O valor do BNB caiu quase 4% na sexta-feira, 7 de outubro, para US$ 283 por moeda, de acordo com o CoinMarketCap. Uma exploração em uma ponte de cadeia cruzada, BSC Token Hub, resultou em BNB extra. Pedimos a todos os validadores para suspender temporariamente o BSC. A questão está contida agora. Seus fundos estão seguros. Pedimos desculpas pelo inconveniente e forneceremos mais atualizações de acordo.

Inicialmente, os hackers tentaram retirar todos os US$ 570 milhões da Binance, mas a empresa desligou temporariamente a rede vulnerável para corrigir o bug, deixando os cibercriminosos com quase US$ 118 milhões em fundos roubados, que já foram transferidos para outras redes.

Estima-se que US$ 7 milhões foram congelados, então o valor real do hack é de cerca de US$ 100 milhões a US$ 110 milhões, de acordo com a Binance.

Os hacks de cross-chain bridge são comuns no mundo das criptomoedas, de acordo com Zhao. Esses contratos inteligentes de código aberto baseados em blockchain ajudam os usuários a se mover entre as redes, mas também se tornaram uma ferramenta atraente para os cibercriminosos lavarem dinheiro. 

Quase US$ 2 bilhões em criptomoedas foram roubados em 13 ataques de cross-chain bridge, principalmente em 2022, de acordo com a empresa de pesquisa blockchain Chainalysis. Uma plataforma de cross-chain bridge  chamada RenBridge foi usada para lavar pelo menos US$ 540 milhões em criptomoedas nos últimos três anos, enquanto em março, hackers roubaram US$ 600 milhões de uma bridge por trás do videogame baseado em criptomoedas Axie Infinity. 

Esses ataques são um golpe para todo o setor de ativos digitais, que sofre com o declínio dos preços das criptomoedas e uma queda acentuada no valor de mercado – de mais de US$ 3 trilhões no ano passado para menos de US$ 1 trilhão agora.

Qualquer tentativa de hackear plataformas de criptomoedas mina a confiança nas finanças descentralizadas, que dependem de algoritmos e carecem de regulamentação. “O código do software nunca está livre de bugs”, disse Zhao.

Em resposta ao ataque, a Binance suspendeu transações e transferências de fundos no BNB Smart Chain por aproximadamente oito horas, mas o reiniciou na manhã da sexta-feira. 

No início da sexta-feira, 7 de outubro, a Binance escreveu no Reddit que o problema está contido e os fundos dos usuários estão seguros. 

Como isso aconteceu

Os hackers usaram o bug no verificador de provas da bridge, o que significa que eles convenceram o sistema de que tinham reivindicações válidas sobre os fundos, de acordo com a empresa de segurança cibernética Hacken. 

Simplesmente dizendo, ele [o hacker] disse, para a bridge “Eu transferi 1 milhão de BNB para você na Beacon Chain, então você deve me dar 1 milhão de BNB na Binance Smart Chain (BEP20)”, escreveu Hacken no Twitter.

Outros pesquisadores, inclusive da Rekt e da Paradigm , chegaram à mesma conclusão. 

Em vez de enviar BNB recém-criado diretamente para as carteiras, os hackers depositaram 900.000 BNB na plataforma de empréstimos Venus Protocol, de acordo com Hacken. 

Em seguida, os hackers correram para transferir fundos roubados para outras redes, incluindo Fantom, Avalanche e Arbitrum, antes que a Binance suspendesse a rede. A suspensão “permitiu salvar a rede e o ecossistema do colapso, pois a bridge tinha bilhões de dólares em jogo”, segundo Hacken.

Qual é o próximo passo

A Binance disse que sua comunidade realizará uma votação sobre o que fazer com os fundos hackeados. Os participantes também decidirão sobre uma recompensa por capturar hackers e identificar bugs futuros. A empresa planeja pagar US$ 1 milhão por cada bug significativo encontrado.

A Binance compartilhará os detalhes do hack e “todas as lições sobre como implementar medidas de segurança mais avançadas” após a investigação. Também introduzirá um novo mecanismo de governança on-chain na BNB Chain para lutar e se defender contra futuros possíveis ataques.

Precisamos aprender como tornar o código mais seguro”, disse Zhao à CNBC. “Em um mundo blockchain, um bug pode resultar em perdas muito grandes.

Fonte: The Record

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!