ZachXBT revela: projeto BSC 'GANA Payment' sofre exploit no valor de 3,1 M$

Visão geral do exploit ao GANA Payment

O investigador de segurança em blockchain ZachXBT revelou uma grave falha de segurança que afetou o GANA Payment, um projeto de criptomoeda em funcionamento na BNB Smart Chain (BSC). O exploit originou perdas superiores a 3,1 milhões de dólares, representando mais um incidente preocupante no quadro da segurança blockchain.

O ataque demonstra táticas avançadas usadas por agentes maliciosos no universo das criptomoedas. Após o roubo, o atacante lavou parte significativa dos fundos desviados através do Tornado Cash, um protocolo de privacidade operacional tanto na BSC como na Ethereum. Cerca de 1 milhão de dólares em ativos permanece inativo na blockchain Ethereum, aguardando eventual movimentação por parte do explorador.

Segundo detalhes partilhados por ZachXBT no seu canal Telegram, o explorador consolidou os ativos roubados no endereço 0x2e8****5c38. O atacante depositou de seguida 1 140 BNB, avaliados em cerca de 1,04 milhões de dólares, no Tornado Cash na rede BSC. Esta operação representa uma técnica habitual de branqueamento de capitais entre hackers para ocultar o percurso das criptomoedas roubadas.

A sofisticação do ataque prosseguiu com a transferência de fundos adicionais para a rede Ethereum. Através desta operação cross-chain, o atacante movimentou mais 346,8 ETH, no valor de 1,05 milhões de dólares, pelo mixer de privacidade Tornado Cash. Contudo, a análise da blockchain indica que 346 ETH continuam inativos no endereço 0x7a503****b3cca, sugerindo uma possível estratégia de espera por parte do atacante para evitar deteção.

Este episódio sublinha os desafios constantes enfrentados pelos projetos blockchain para manter padrões de segurança robustos. O recurso a protocolos de privacidade como o Tornado Cash evidencia como agentes maliciosos exploram ferramentas legítimas de privacidade para fins ilícitos, dificultando a recuperação de fundos e as investigações das autoridades.

Análise técnica revela manipulação da propriedade do contrato

A empresa de segurança em blockchain HashDit efetuou uma análise célere após detetar atividades suspeitas on-chain. A investigação identificou rapidamente a principal vulnerabilidade que possibilitou o ataque: manipulação não autorizada da estrutura de propriedade do contrato GANA.

O exploit centrou-se em alterações maliciosas aos parâmetros de propriedade da infraestrutura de smart contract do GANA. Ao assumir o controlo não autorizado destas funções críticas, o hacker obteve privilégios administrativos sobre o mecanismo de staking do protocolo. Este acesso elevado permitiu-lhe manipular as taxas de distribuição de recompensas, comprometendo a integridade do sistema de staking.

O ataque técnico envolveu várias etapas sofisticadas. Primeiro, o atacante explorou a vulnerabilidade de propriedade para assumir funções-chave do contrato. Depois, invocou sucessivamente funções de unstake, recebendo de cada vez um número de tokens GANA substancialmente superior ao previsto para distribuição em condições normais. Esta manipulação do mecanismo de recompensas permitiu ao hacker cunhar ou extrair muito mais tokens do que seria atribuído a utilizadores legítimos.

Com estes tokens excedentários, o atacante executou uma estratégia coordenada de venda em exchanges descentralizadas. Ao inundar o mercado com tokens GANA roubados, trocou-os por criptomoedas mais líquidas e amplamente aceites, como BNB e ETH. Esta conversão foi essencial para a fase seguinte de branqueamento, pois as principais criptomoedas oferecem maior liquidez e mais opções de movimentação de fundos.

Na fase final, os lucros convertidos foram encaminhados através do protocolo de privacidade Tornado Cash. Este serviço de mixing quebra o rasto on-chain entre endereços de origem e de destino, tornando muito mais difícil o rastreamento dos fundos roubados por parte dos investigadores.

A HashDit emitiu um alerta urgente de segurança, recomendando que todos os utilizadores cessem imediatamente qualquer negociação envolvendo tokens GANA até a equipa de desenvolvimento emitir orientações oficiais e implementar as correções necessárias. A empresa salientou que a continuação da interação com o contrato comprometido pode expor os utilizadores a novos riscos.

Este exploit soma-se ao histórico de incidentes de segurança da BSC, embora a rede tenha evidenciado melhorias nas métricas globais de segurança. De acordo com análise conjunta da BNB Chain e da Hacken, o ecossistema registou uma redução de 70% nas perdas totais, descendo de 161 milhões de dólares em 2023 para 47 milhões em 2024. Apesar desta evolução positiva e de protocolos de segurança mais robustos em todo o ecossistema, ataques pontuais como o do GANA continuam a desafiar a resiliência da rede.

Incidentes anteriores na BSC ajudam a enquadrar a evolução das ameaças. Em setembro, um ataque de phishing drenou 13,5 milhões de dólares a um utilizador do Venus Protocol após aprovação inadvertida de uma transação maliciosa. Importa sublinhar que os contratos centrais do Venus permaneceram seguros, sendo as perdas atribuídas a engenharia social e não a falhas do protocolo.

Também a plataforma de meme coin Four.Meme sofreu uma violação de 183 mil dólares durante um período de volatilidade, recorrendo a técnicas de sandwich attack e resultando na perda de cerca de 125 BNB, num contexto de turbulência em torno do token Test da plataforma.

Plano de recuperação anunciado e equipa inicia investigação

A equipa de desenvolvimento do GANA respondeu de imediato à violação de segurança, emitindo um comunicado oficial a confirmar o ataque externo à infraestrutura de contratos de interação. O comunicado validou que entidades não autorizadas acederam e extraíram ativos de utilizadores, explorando vulnerabilidades contratuais.

Na resposta, a equipa detalhou o plano de ação urgente. Contratou uma empresa de segurança independente, especializada em forense blockchain e segurança de smart contracts, para conduzir uma investigação de emergência abrangente: análise detalhada do vetor do ataque e pontos de entrada, identificação das vulnerabilidades que permitiram a intrusão e avaliação rigorosa do impacto em utilizadores e infraestrutura do protocolo.

A estratégia de recuperação inclui vários pilares fundamentais. O projeto compromete-se a ativar um plano de reinicialização total do sistema, incluindo o mapeamento completo de todos os endereços de ativos dos utilizadores e respetivos níveis de permissão. Esta auditoria rigorosa visa garantir a inexistência de vulnerabilidades residuais antes da retoma das operações.

A equipa do GANA apresentou um pedido formal de desculpas aos utilizadores afetados pelos transtornos e perdas financeiras causados. Compromete-se a manter comunicação transparente ao longo de todo o processo de recuperação, prometendo divulgar planos detalhados, mecanismos de compensação e cronogramas de implementação através dos canais oficiais em breve.

O momento deste exploit é especialmente relevante, pois ocorreu após um período de baixa incidência de incidentes de segurança no setor das criptomoedas. Dados da PeckShield apontam para o valor mensal mais baixo de perdas, com apenas 18,18 milhões de dólares roubados em 15 incidentes recentes — uma descida de 85,7% face aos 127,06 milhões do mês anterior.

Contudo, especialistas advertem que, apesar destes dados positivos, os agentes de ameaça continuam a sofisticar as suas técnicas a um ritmo igual ou superior ao reforço das defesas dos protocolos. A sofisticação do exploit ao GANA evidencia esta corrida permanente entre atacantes e defensores.

A violação ao GANA ocorreu na proximidade de um ataque ainda mais grave direcionado ao Balancer Protocol. Num incidente recente, o Balancer perdeu mais de 128 milhões de dólares em múltiplas redes blockchain, após exploração de Balancer V2 Composable Stable Pools através de manipulações sofisticadas de smart contracts, incluindo falhas de verificação de autorizações e vulnerabilidades em callbacks. O ataque drenou ativos em minutos, com o perpetrador a recorrer ao Tornado Cash para lavar fundos, replicando técnicas usadas no exploit do GANA.

Apesar de o protocolo StakeWise ter recuperado 19,3 milhões de dólares em osETH por chamada de emergência ao contrato — reduzindo as perdas líquidas do Balancer para cerca de 98 milhões — o impacto de mercado foi severo. O valor total bloqueado (TVL) do Balancer caiu de 442 para 214,52 milhões de dólares num só dia, demonstrando o abalo de confiança que estas violações provocam nos protocolos DeFi.

Estes incidentes reforçam a importância de auditorias de segurança rigorosas, sistemas de monitorização contínua e resposta rápida a incidentes para projetos blockchain em finanças descentralizadas.

Perguntas Frequentes

Como foi utilizado o exploit de 3,1 milhões de dólares no projeto GANA Payment?

O exploit explorou vulnerabilidades no smart contract do GANA Payment na BSC, permitindo aos atacantes drenar fundos através de ataques de reentrância e transferências não autorizadas de tokens, o que resultou na perda de 3,1 milhões de dólares.

Que impacto teve esta vulnerabilidade de segurança do projeto BSC nos fundos dos utilizadores?

O exploit de 3,1 milhões de dólares comprometeu diretamente os ativos dos utilizadores do GANA Payment. Os utilizadores afetados registaram perdas imediatas. A vulnerabilidade permitiu aos atacantes esvaziar pools de liquidez e saldos. As medidas imediatas incluíram revisões de segurança das carteiras e monitorização da recuperação de fundos por análise blockchain.

Como identificar e avaliar riscos de segurança de smart contracts em projetos DeFi?

Rever auditorias de entidades reputadas, analisar o código no GitHub, verificar programas de recompensa de bugs, validar as credenciais dos programadores, examinar o histórico de deploy de contratos, avaliar profundidade de liquidez e monitorizar feedback comunitário para sinais de alerta.

Como foi gerido este incidente de segurança pela equipa do GANA Payment?

A equipa do GANA Payment iniciou resposta imediata, suspendeu os smart contracts afetados e envolveu auditores de segurança para investigar o exploit de 3,1 milhões de dólares. Comunicou de modo transparente com os utilizadores e trabalhou em medidas de recuperação e reforço de segurança para prevenir futuras vulnerabilidades.

Como devem os investidores proteger-se de riscos de vulnerabilidade em projetos blockchain?

Os investidores devem exigir auditorias rigorosas de smart contracts por entidades reconhecidas, diversificar investimentos, acompanhar atualizações de segurança, validar credenciais e histórico das equipas, usar carteiras hardware e participar apenas em projetos com governança transparente e programas ativos de recompensa de bugs.

Que projetos do ecossistema BSC já sofreram incidentes de segurança devido a vulnerabilidades de smart contract?

A BSC registou vários incidentes, incluindo PancakeSwap (ataque de flash loan), Binance Bridge (exploração cross-chain), SafeMoon (riscos de rug pull) e outros projetos que enfrentaram vulnerabilidades de smart contract e exploits com perdas financeiras relevantes.