A exchange descentralizada (DEX) Clipper esclareceu que foi uma vulnerabilidade em sua função de retirada que causou o recente hack de $450.000 em seu protocolo — em vez de um vazamento de chave privada como sugerido por um “terceiro.”

O Clipper disse em um post no X em 1º de dezembro que o atacante explorou duas pools de liquidez em 1º de dezembro, o que levou cerca de 6% de seu valor total bloqueado. Acrescentou que nenhuma outra pool foi afetada e que a exploração havia terminado.

“Houve alegações de terceiros sugerindo um vazamento de chave privada,” escreveu o Clipper. “Podemos confirmar que isso não é verdade e é inconsistente com o design e a arquitetura de segurança do Clipper.”

“A capacidade de retirar na forma de apenas um token (uma troca agrupada + transação de depósito/retirada) está desativada, porque isso parece ter sido o recurso explorado,” acrescentou.

Anteriormente, o cofundador da empresa de segurança Fuzzland, Chaofan Shou, postou no X que o Clipper foi “hackeado devido a vulnerabilidade da API (como vazamento de chave privada)” e acrescentou que a API provavelmente tinha vulnerabilidades que permitiram a um atacante assinar solicitações de depósito e retirada e desviar mais fundos do que estavam sendo colocados.

Fonte: Chaofan Shou

O Clipper disse que está realizando uma investigação do incidente e prometeu fornecer mais atualizações e suspendeu trocas e depósitos em seu protocolo enquanto isso. As retiradas estão abertas, mas “devem estar na mistura de todos os ativos na piscina,” acrescentou.

O projeto escreveu que também começou a rastrear os fundos roubados na tentativa de recuperá-los e pediu ao explorador que contatasse o projeto se eles estivessem “dispostos a falar.”

O hack acrescenta aos mais de $1,48 bilhão em criptomoedas que foram roubados em 2024 até o final de novembro, uma diminuição de 15% em comparação com o mesmo período do ano passado, de acordo com um relatório da Immunefi de 28 de novembro.

O criador do Clipper, Shipyard Software Inc., não respondeu imediatamente a um pedido de comentário fora do horário comercial normal.

Shou foi contatado para comentar.

Revista: Questões legais cercam a criação de tokens de criptomoeda falsos pelo FBI