O jogo em blockchain baseado na rede Solana Aurory, inspirado em Pokémon, sofreu um ataque hacker que lhe custou US$ 830.000 em seus tokens nativos. Ou seja, cerca de R$ 4 milhões na cotação atual em reais. O ataque em questão ocorreu no dia 17 de dezembro e envolveu uma exploração de ponte (bridge).
De acordo com um anúncio da equipe por trás do jogo focado em web3, na referida data, houve o comprometimento do “endpoint de compra” do Aurory Marketplace pelo hacker. Isso permitiu que o invasor aumentasse o seu saldo de tokens AURY no SyncSpace — o “sistema de inventário híbrido on-chain/off-chain” da Aurory, que também facilita a ponte de ativos entre Solana e Arbitrum.
Ao todo, o hacker conseguiu desviar 600.000 AURY, no valor de US$ 830.000 na ocasião, de uma carteira controlada pela equipe Aurory. Em seguida, ele transferiu os tokens roubados para a rede Arbitrum para venda por meio da exchange descentralizada pouco conhecida Camelot.
Em resposta ao ataque, a Aurory desativou o SyncSpace para corrigir a vulnerabilidade. Além disso, usou seu formador de mercado para comprar todo o AURY roubado. A liquidez do pool AURY/USDC na Camelot caiu 80%, de US$ 1,5 milhão, em meio ao incidente.
“O explorador não tem mais AURY para vender”, tuitou Aurory. “Nós rapidamente nos movemos para absorver a pressão de venda por meio do nosso formador de mercado e do reequilíbrio do pool.”
Ataque ao jogo Aurory
A equipe do jogo também enfatizou que nenhum ativo do usuário foi afetado e não há ameaça de novas perdas. O token AURY caiu 20% logo após a exploração, de acordo com dados do CoinGecko.
No entanto, o preço do ativo conseguiu se recuperar e acumula uma alta de mais de 17% nas últimas 24 horas. No momento da redação, AURY está custando US$ 1,25.
Por fim, a equipe Aurory disse que restaurará a funcionalidade SyncSwap “nos próximos dias” após a correção total da vulnerabilidade. A exploração ocorreu apesar de a Aurory ter contratado anteriormente a Ottersec, uma empresa de segurança web3, para auditoria de código.
As pontes entre cadeias provaram ser um risco generalizado no ecossistema web3. De acordo com Rekt, quatro das cinco maiores explorações em DeFi tiveram como alvo pontes, com Ronin, Poly Network, BNB Bridge e Wormhole perdendo mais de US$ 2,1 bilhões em ativos combinado.