Pesquisadores de segurança em cripto descobriram e neutralizaram uma ameaça crítica que afetava milhares de contratos inteligentes, potencialmente impedindo que mais de US$ 10 milhões em criptomoedas fossem roubados.
Na quinta-feira, o pesquisador pseudônimo da Venn Network, Deeberiroz, compartilhou em uma postagem no X que uma exploração com backdoor estava silenciosamente ameaçando o ecossistema há meses. Segundo o pesquisador, a exploração tinha como alvo contratos proxy ERC-1967 não inicializados, permitindo que fossem sequestrados antes de serem configurados corretamente.
A Venn Network descobriu a vulnerabilidade na terça-feira, desencadeando uma operação de resgate de 36 horas que envolveu vários desenvolvedores, incluindo os pesquisadores de segurança Pcaversaccio, Dedaub e Seal 911, que trabalharam juntos para avaliar os contratos afetados e mover ou proteger os fundos vulneráveis.
Invasores injetaram implementações maliciosas nos contratos
Or Dadosh, cofundador e presidente da Venn Network, disse ao Cointelegraph que o invasor realizou front-run nos contratos em fase de implantação e injetou implementações maliciosas.
“Em termos simples, o invasor explorou certas implantações que permitiram inserir um backdoor bem oculto em milhares de contratos”, disse Dadosh ao Cointelegraph, acrescentando que o invasor poderia ter assumido o controle dos contratos vulneráveis a qualquer momento.
Após o ataque, o hacker manteve um backdoor indetectável e impossível de ser removido por meses. Uma vez que o contrato fosse inicializado, a atividade maliciosa tornava-se praticamente invisível.
Os pesquisadores de segurança conseguiram se antecipar aos invasores ao manterem a vulnerabilidade em segredo durante a operação, o que levou ao sucesso do resgate.
Deeberiroz afirmou que vários protocolos de finanças descentralizadas (DeFi) conseguiram proteger as criptomoedas em risco durante a operação, agindo antes que os invasores pudessem desviar os ativos.
“Encontramos dezenas de milhões de dólares potencialmente em risco”, disse Dadosh. “Mas o mais assustador é que isso poderia ter continuado crescendo, e uma parcela maior do TVL [valor total bloqueado] dos protocolos envolvidos poderia ter sido ameaçada.”
Berachain pausa contrato e Lazarus é suspeito
Os protocolos afetados incluíam o Berachain, cuja equipe respondeu pausando o contrato afetado. Na quinta-feira, a Fundação Berachain reconheceu a possível vulnerabilidade, pausou o contrato de distribuição de incentivos e transferiu seus fundos para um novo contrato.
“Nenhum fundo de usuário está em risco ou foi perdido”, escreveu a Fundação Berachain no X. “Os incentivos poderão ser reivindicados novamente nas próximas 24 horas, assim que os merkles para distribuição forem recriados.”
O pesquisador de segurança da Venn Network, David Benchimol, suspeita que o infame grupo de hackers norte-coreano Lazarus esteja envolvido no ataque. Benchimol disse ao Cointelegraph que “o vetor de ataque foi muito sofisticado e implantado em todas as blockchains compatíveis com EVM.”
O pesquisador também observou que o invasor estava aguardando um alvo maior antes de agir, o que aumenta a probabilidade de se tratar de um grupo organizado. Apesar disso, Benchimol afirmou ao Cointelegraph que ainda não há confirmação de que o Lazarus esteja envolvido.