Airdrop na Cosmos quase acaba em US$ 4 milhões roubados, aponta relatório
Falha no código permitiria que hackers roubassem tokens STRD disponíveis após distribuição por airdrop
Uma vulnerabilidade envolvendo o airdrop da criptomoeda STRD foi descoberta pela equipe de segurança da Jump Crypto. A falha, que foi publicada nesta segunda-feira (15), permitiria a um hacker roubar o equivalente a US$ 4 milhões de tokens concedidos por airdrop, mas que não tinham sido ainda reivindicados pelas carteiras contempladas.
Airdrop milionário
A STRD é a criptomoeda nativa da blockchain Stride, que oferece staking líquido para sete diferentes criptoativos do ecossistema Cosmos. O relatório da Jump Crypto aponta que a STRD é distribuída regularmente através de airdrops, como forma de incentivar a atividade na rede. O volume de distribuição ocorre de acordo com os diferentes ativos em staking.
Tokens disponíveis para staking líquido na Stride. Fonte: Stride.zone
Após o mais recente airdrop, um saldo de 1,6 milhão de tokens STRD, equivalente a US$ 4 milhões, estava aguardando a coleta pelas carteiras beneficiadas. Uma funcionalidade recentemente implementada no mecanismo Inter-Blockchain Communication (IBC) do ecossistema Cosmos, no entanto, permitiria que essa quantia fosse roubada.
‘Falha’ no IBC
O IBC permite que diferentes blockchains do ecossistema Cosmos se conectem diretamente. A funcionalidade em questão permite que usuários enviem mensagens de seus endereços em diferentes blockchains, usando o IBC, para atualizar o endereço de recebimento de airdrops.
O problema, porém, é que isso permitiria a um agente mal-intencionado manipular o endereço de recebimento de outra pessoa, recebendo os tokens STRD no lugar do legítimo usuário contemplado no airdrop.
O relatório, então, revela que isso poderia ser feito com todos os endereços que ainda não tinham recebido seus tokens. O erro foi comunidade à equipe da Stride que, de acordo com a Jump Crypto, foi rápida em corrigir o problema. Agora, haverá uma checagem no processo de alteração de endereço para o recebimento do airdrop, garantindo que o vetor de ataque não esteja mais em aberto.
Interoperabilidade arriscada?
A conclusão do relatório destaca que a interoperabilidade oferecida pelo IBC é “uma vantagem única do ecossistema Cosmos”. Sua integração entre diferentes redes, contudo, depende de um bom entendimento do modelo de confiança por trás da funcionalidade. Isto é: a segurança da conexão criada via IBC depende dos desenvolvedores envolvidos no processo.
“Desenvolvedores que constroem sobre o IBC e engenheiros de segurança que revisam essas integrações devem verificar com cautela a superfície de ataque exposta a canais e clients do IBC. Gostaríamos de agradecer os contribuidores da Stride pela condução profissional deste problema e pela rápida resposta”, conclui o relatório.
Leia mais: