O projeto GameFi Super Sushi Samurai (SSS), construído na blockchain de camada 2 Base da Coinbase e no aplicativo de mensagens Telegram, viu uma retirada de US$ 4,8 milhões em 21 de março de suas reservas de liquidez por um hacker autoproclamado "chapéu branco" após a descoberta de uma falha de gastos duplos.
Em um comunicado ao Cointelegraph, a empresa de análise de blockchain CertiK observou que "a vulnerabilidade está dentro da função _update() dos contratos [SSS], que não atualiza corretamente os saldos ao transferir para si mesmo". Portanto, quando um usuário transfere todo o seu saldo de tokens SSS para si mesmo, o saldo resultante é dobrado.
O LP @SSS_HQ $SSS foi drenado em alta velocidade porque o contrato de token deles tem um bug onde transferir todo o seu saldo para si mesmo o duplica.
A ordem das operações decrementa o saldo para "de" e depois define o saldo para "para" - se esses forem o mesmo endereço, o... pic.twitter.com/RStMcFH3sy
— Coffee ☕️ (@coffeexcoin) 21 de março de 2024
CertiK observou que durante o incidente, um usuário, operando no endereço 0x786C8f95C17BB990a040dc4D6539B01FC1b72842, inicialmente comprou 690 milhões de tokens SSS, transferiu a totalidade do saldo para si mesmo, dobrou-o 25 vezes e finalmente terminou "com 11,5 trilhões de tokens SSS que foram então vendidos por 1.310 ETH (~US$ 4.590.827)".
Pouco depois do incidente, o usuário que gastou os tokens declarou em uma mensagem na blockchain:
"Oi equipe, este é um hack de resgate de boné branco. Vamos trabalhar para reembolsar os usuários. Por favor, entre em contato via chat do Blockscan pelo implantador do SSS 0x555b28f3b8b3b8ebd1b06997c2078fd94529f555 na mainnet do Ethereum."
Apesar de sua boa vontade, vale ressaltar que o autodenominado hacker do bem levou ao colapso do token SSS após retirar US$ 4,8 milhões em fundos. Antes do colapso, SSS tinha uma capitalização de mercado total de US$ 27,75 milhões. Os tokens desde então perderam mais de 99% de seu valor. No mesmo dia, os desenvolvedores do SSS responderam:
"Olá, hacker do bem; nós entramos em contato com você pelo Blockscan. Obrigado por cooperar conosco. Equipe SSS."
Apenas um mês antes, o novo token ERC-X, Miner, caiu 99% depois que um usuário descobriu uma falha de gasto duplo que levou à criação infinita de tokens. "É uma pena que o contrato tenha falhas de baixo nível. Você pode dobrar seu saldo transferindo dinheiro para si mesmo", disse Yu Xian, co-fundador da empresa de segurança blockchain de Cingapura SlowMist, sobre o incidente. A falha levou a perdas de usuários de mais de US$ 10 milhões.