O Aurory, um jogo de batalhas no estilo Pokémon, sofreu um exploit na noite de domingo (17) que permitiu ao hacker retirar cerca de 600 mil tokens AURY no valor aproximado de US$ 830 mil (R$ 4 milhões) no momento do ataque. Os desenvolvedores do game desativaram sua ponte de blockchain SyncSpace que o conecta à Solana e à rede de escalonamento Arbitrum do Ethereum.
Procurado para comentar, o produtor executivo do Aurory, Jonathan Campeau, disse ao Decrypt que a equipe está trabalhando atualmente para lançar um patch global para seus serviços de back-end a fim de resolver o problema.
“Foi um ataque ‘race condition’ em nosso marketplace off-chain”, explicou Campeau (uma vulnerabilidade ‘race condition’ geralmente ocorre quando a aplicação tem acesso aos mesmos dados compartilhados e tenta alterar variáveis dentro dela simultaneamente). “O usuário conseguiu enviar várias solicitações de compra simultaneamente, o vendedor recebeu o dobro do valor e o comprador foi debitado apenas uma vez.”
A invasão do marketplace causou uma queda de 80% na liquidez da AURY-USDC na exchange descentralizada Camelot, e o preço do AURY caiu cerca de 17% desde o início do domingo, de acordo com os dados do CoinGecko, o que significa que o valor aproximado de US$ 830 mil dos tokens desviados agora seria de cerca de US$ 690 mil. Depois de sofrer uma queda para cerca de US$ 0,95 por token AURY, seu preço se recuperou para cerca de US$ 1,15.
Just a few hours ago, our team detected unusual activity on our marketplace. After quickly investigating, we discovered that a bad actor was able to exploit our marketplace’s buy endpoint, allowing them to increase their $AURY balance in SyncSpace. This allowed them to withdraw…
— Aurory (Play Now) (@AuroryProject) December 17, 2023
A equipe do Aurory explicou ainda no X que a exploração do marketplace permitiu que o criminoso retirasse fundos da carteira de uma equipe de desenvolvedores e transferisse os tokens para a Arbitrum. Nenhum fundo de usuário ou NFTs foi roubado ou está atualmente em risco, de acordo com o estúdio.
“Com o lançamento do Seekers, tivemos muitos olhos voltados para nós e, infelizmente, muitos agentes mal-intencionados também estão tentando invadir nossos sistemas”, disse Campeau ao Decrypt, referindo-se à recente expansão do jogo Seekers of Tokane Aurory anunciada no mês passado.
A plataforma do Aurory já havia sido auditada por uma empresa de cibersegurança, a Ottersec, que não sinalizou o problema, disse Campeau ao Decrypt.
“Esse tipo de ataque não se enquadra em seu escopo, pelo que me foi dito”, disse Campeau. O Decrypt entrou em contato com a Ottersec para comentar o assunto.
Como muitos ataques e explorações de criptomoedas, o que aconteceu com o Aurory poderia ter sido evitado, disse David Schwed, COO da empresa de cibersegurança Halborn, ao Decrypt.
“Se um invasor conseguisse explorar o marketplace, teoricamente a vulnerabilidade poderia ser descoberta e evitada”, argumentou Schwed, acrescentando que uma auditoria de terceiros não é suficiente por si só para manter altos níveis de segurança da plataforma.
Depois que o exploit for corrigido, a equipe do Aurory espera colocar sua ponte novamente on-line “nos próximos dias”.
Este ano, o Aurory continuou a desenvolver seu ecossistema de jogos com o lançamento de Seekers of Tokane na Epic Games Store. Embora o estúdio tenha lançado primeiro NFTs na Solana, ele expandiu para Arbitrum em julho, adotando uma abordagem multi-chain para jogos de blockchain.
*Traduzido por Gustavo Martins com autorização do Decrypt.
- Quer desvendar os mistérios do Bitcoin? Adquira “O Livro de Satoshi”, um compilado de escritos e insights de Satoshi Nakamoto