Hacker rouba US$ 3 milhões da plataforma Carnival, mas devolve metade em seguida
No último domingo (26), a página de cibersegurança PeckShield denunciou a movimentação de um hacker na plataforma Carnival, o que rendeu o roubo de 3.087 ETH, o equivalente a US$ 3,6 milhões (ou, em conversão direta, R$ 18,7 milhões). No entanto, após negociação com a empresa, o criminoso devolveu parte da quantia.
Acontece que a própria equipe ofereceu a oportunidade do hacker devolver metade do que foi roubado, e assim ficasse com a outra metade como uma espécie de “recompensa” por ter conseguido encontrar uma brecha no sistema, o que de certa forma acabou alertando a empresa sobre a necessidade de reforçar a segurança. Ao devolver os 1.543 ETH, o hacker estaria a salvo da justiça.
Na prática, o golpe se deu da seguinte maneira: a falha no código da plataforma permitiu que hackers retirassem NFTs prometidos e os usassem como garantia. O mecanismo foi usado posteriormente para drenar ativos do pool. No entanto, como destaca a página em questão, a falta de julgamento no contrato que não verificou se o NFT prometido foi sacado pelo mutuário.
O cibercriminoso adquiriu os fundos da solução de mistura de moedas Tornado Cash e permaneceu no anonimato, podendo ter lavado os fundos roubados e permanecer sob o radar, e depois transferi-los para a moeda fiduciária.
“Nosso contrato inteligente foi suspenso, todas as ações de depósito e empréstimo não são suportadas temporariamente, fique atento, confirmaremos a situação o mais rápido possível”, escreveu a Carnival, frente ao ocorrido. Levou um dia até que tudo voltasse ao normal.
Na segunda-feira (27), a página oficial da Carnival escreveu no Twitter: “O XCarnival foi atacado em 26 de junho de 2022 e suspendeu parte do protocolo. Os funcionários darão ao proprietário 1500 ETH de recompensa. Ao mesmo tempo, os oficiais do XCarnival isentam explicitamente a pessoa de ação legal”. No entanto, pouco tempo depois, a empresa completou que “as agências de segurança determinaram provisoriamente a localização geográfica do hacker”.
Hackers no universo cripto
A prática não é nova no universo cripto, tampouco a negociação com os criminosos. Recentemente, a equipe do blockchain Harmony anunciou que hackers invadiram a Horizon — uma espécie de ponte para o blockchain da Ethereum — e levaram cerca de US$ 100 milhões (o equivalente a R$ 523 milhões).
Além do Horizon, diversas outras empresas do mercado cripto também já receberam golpes de hackers, como é o caso da Optimism Foundation, por exemplo. Em um dos mais recentes casos de ataques, a empresa perdeu US$ 35 milhões (R$ 183 milhões) em token Optimism.
Na ocasião semelhante ao que aconteceu ao Horizon, a empresa por trás do protocolo anunciou o envio acidental de 20 milhões de tokens para o endereço blockchain errado, o que possibilitou o roubo desses tokens OP, que foi lançado no final de maio como parte de um plano de Optimism para descentralizar o modo como o protocolo é governado, e a Optimism Foundation tinha planejado destinar 20 milhões de tokens OP para a empresa de market maker Wintermute, como parte do fundo de parceiros da Fundação.
