A propriedade fundamental dos tokens não fungíveis (NFTs) é garantir que itens digitais sejam únicos e exclusivos. No entanto, por mais de um ano, os contratos inteligentes da Bored Ape Yacht Club (BAYC), a mais popular e valiosa coleção de NFTs do mercado, deixaram aberta uma brecha para que os desenvolvedores do projeto ou agentes maliciosos pudessem criar uma quantidade ilimitada de novos itens.
Um potencial ataque hacker ou mesmo uma ação deliberada dos desenvolvedores da BAYC poderia ter derrubado o valor de mercado da coleção ao criar uma oferta abundante de novos itens para comercialização, prejudicando os detentores dos NFTs originais. Um ano após reconhecer o problema, finalmente a Yuga Labs, empresa por trás da coleção, reparou a falha.
Em resposta a uma postagem no Twitter da Blockworks relembrando a brecha no código do BAYC, um dos desenvolvedores do projeto anunciou a reparação na terça-feira, 7.
The contract owner has now been burned. While we’d been meaning to do this for a long time, we hadn't out of an abundance of caution. Felt comfortable doing it now. All done.
— EmperorTomatoKetchup (@TomatoBAYC) June 7, 2022
In lay terms: The issue flagged in this article is now impossible.
Uma única chave privada pode gerar um número infinito de novos Bored Apes
–Blockworks (@Blockworks_)
O proprietário do contrato já foi queimado. Embora estivéssemos querendo fazer isso há muito tempo, tivemos bastante cautela. Sentimo-nos confortáveis fazendo isso agora. Tudo resolvido.
Em termos claros: O problema sinalizado neste artigo agora é impossível.
— EmperorTomatoKetchup (@TomatoBAYC)
O link com a prova da transação em que a permissão é revogada foi compartilhado pelos desenvolvedores com registro de data e hora de 7 de junho, 7:07 pm.
A brecha
A brecha foi identificada pela primeira vez em junho de 2021 pelo CEO da NonFungibles, Dan Kelly. Ele revelou que a Yuga Labs tinha permissão para mintar tantos NFTs quanto quisesse, além dos 10.000 colecionáveis originais.
Em resposta à revelação, o perfil oficial da BAYC no Twitter afirmou que nunca executaria esse código e que a capacidade de usá-lo seria retirada dos contratos inteligentes em alguns dias. O assunto foi esquecido até que um ano depois voltou à tona quando um desenvolvedor de NFTs pseudônimo observou que a Yuga Labs não havia cumprido a promessa.
There is a single private key out there that can mint an infinite number of new OG @BoredApeYC at any time.
— foobar (@0xfoobar) June 5, 2022
If the token contract owner (a personal wallet, not a multisig) gets hacked or phished, you might see thousands of new bored apes minted and dumped onto the market pic.twitter.com/CLZGaDz1Yx
Existe uma única chave privada que pode mintar um número infinito de novos @BoredApeYC a qualquer momento.
Se o proprietário do contrato do token (uma carteira pessoal, não um multisig) for hackeado ou for vítima de phishing, poderemos ver milhares de novos macacos entediados mintados e despejados no mercado
De acordo com um programador pseudônimo especializado em redes blockchain ouvido por uma reportagem do CoinTimes sobre a brecha no código dos contratos inteligentes do BAYC, os riscos poderiam ir além da simples criação de novos NFTs. Um agente mal intencionado poderia alterar as imagens dos NFTs e até mesmo comprometer definitivamente a coleção:
"Um hacker com acesso às chaves poderia inclusive apontar os NFTs para o nada e logo depois destruir as chaves. Isso destruiria os NFTs de todos. Combinando isso com uma posição short no valor dos NFTs, poderia resultar em uma operação extremamente lucrativa."
Visto que o Discord oficial do projeto tem sido alvo recorrente de ataques de phishing, o perigo era algo palpável e real. Conforme noticiou o Cointelegraph Brasil recentemente, um ataque à conta de Boris Vagner, gerente de comunidade e social do Yuga Labs, causou um prejuízo de US$ 260.000 aos investidores das coleções de NFTs da Yuga Labs BAYC e Otherdeed for the Otherside.
LEIA MAIS