Vulcan Forged Afirma que Reembolsou ‘a Maioria’ dos Usuários Afetados por Hack
A plataforma de tokens não fungíveis (NFTs) Vulcan Forged, que oferece mais de seis jogos blockchain, uma exchange descentralizada (DEX) e um mercado NFT, disse que reembolsou a maioria dos usuários afetados após ser hackeada.
A plataforma foi vítima de um hack na segunda-feira e perdeu cerca de US$ 140 milhões.
A equipe detalhou que um hacker obteve as chaves privadas de 96 carteiras ‘My Forge’ e fugiu com aproximadamente 4,5 milhões de tokens vulcan forged (PYR), o que constitui 9% de todo o estoque do token e 23,7% do estoque circulante.
“Todas as carteiras My Forge foram protegidas. Apenas alguns precisam do PYR de volta”, disseram os desenvolvedores em um tweet, acrescentando que o novo sistema de carteira deve entrar no ar em dois dias.
A equipe também compartilhou a carteira responsável pela exploração, alegando que estão trabalhando para identificar pegadas e que “isolaram os tokens roubados de todas as exchanges [centralizadas]”.
Jamie Thomson, CEO da Vulcan Forged, apareceu em um vídeo para dar mais detalhes sobre o incidente. Ele disse que não havia nenhum problema com o Venly, o provedor de soluções de carteiras que a plataforma usa – em vez disso, o hacker conseguiu atacar as carteiras semicustodiais.
“O que aconteceu é que alguém explorou nossos servidores, obteve as credenciais do Venly e as usou para extrair as chaves privadas dos usuários do MyForge”, disse Thomson.
Thomson insistiu que o incidente motivou a equipe a adotar uma solução 100% descentralizada. “No futuro, é claro, não usaremos nada além de carteiras descentralizadas, para que nunca mais tenhamos que passar por esse problema”, disse ele.
“O ataque foi possível porque todas as chaves privadas de todas as carteiras do projeto foram mantidas centralmente em uma única rede local”, disse Gleb Zykov, cofundador e diretor de tecnologia da HashEx, uma empresa de consultoria e auditoria de segurança de blockchain.com, acrescentando que as carteiras descentralizadas, mais conhecidas como carteiras com várias assinaturas, tornam esse tipo de exploração muito mais difícil.
“Os ataques DeFi clássicos não invadem nada em particular, eles apenas exploram as oportunidades oferecidas pelo próprio código dos contratos inteligentes. Às vezes, os ataques DeFi clássicos exploram uma sequência de contratos inteligentes usando protocolos de empréstimo flash que permitem tomar empréstimos sem garantia. Nesse tipo de ataque, o hacker arrasta a liquidez emprestada por meio de uma série de contratos inteligentes para manipular o mercado a seu favor, embolsa o lucro obtido por meio de uma operação de pump-and-dump e retorna o empréstimo. Mas aqui a liquidez foi apenas transferida das carteiras usando as chaves privadas para uma carteira ou carteiras diferentes”, explicou Zykov.
Enquanto isso, o PYR despencou entre 12 e 13 de dezembro, de US$ 32,3 para US$ 21,66, perdendo quase 33%. Às 10:15 UTC de 15 de dezembro, o PYR era negociado a US$ 21,7, tendo caído 6,5% no dia anterior.
