Vulnerabilidade Crítica no Contrato BSC desencadeia perda de $100.000, causando uma grande vulnerabilidade de segurança que pode levar a perdas financeiras significativas.

BlockSec Phalcon, a plataforma de segurança da reconhecida firma de auditoria BlockSec, reportou recentemente na rede X a descoberta de um ataque sofisticado contra um contrato desconhecido implantado na cadeia BSC. A operação maliciosa resultou na subtração de aproximadamente $100.000, expondo uma falha fundamental no mecanismo de sincronização do protocolo de queima de pares de tokens.

Arquitetura do Protocolo: Onde Reside a Vulnerabilidade

Segundo a análise partilhada pelo Odaily, a raiz do problema encontra-se no design do sistema de queima de liquidez. A vulnerabilidade não reside simplesmente num código defeituoso, mas numa arquitetura que permite manipulações em cascata. O protocolo implementava uma função de sincronização que, embora tivesse a intenção de manter o equilíbrio de pares, acabou por ser o ponto fraco do contrato.

O mecanismo estava programado para destruir automaticamente percentagens significativas de tokens quando eram realizadas operações de troca, com a crença de que esta ação protegeria o fundo. No entanto, esta mesma característica tornou-se na ferramenta que o atacante utilizou para seu benefício.

Execução em Duas Fases: A Anatomia do Ataque

O explorador aproveitou a vulnerabilidade através de uma estratégia de arbitragem executada em duas operações consecutivas. Na primeira fase, durante uma troca inicial, conseguiu extrair 99,56% dos tokens PGNLZ do fundo de liquidez. Esta ação por si só deveria ter desencadeado mecanismos de segurança, mas a arquitetura permitiu continuar.

Na segunda fase, o atacante realizou uma operação de venda de PGNLZ que ativou automaticamente a função transferFrom do contrato. Esta função, como foi projetada, procedeu à destruição de 99,9% dos tokens PGNLP restantes e executou uma sincronização forçada. Aqui é onde a vulnerabilidade mostrou toda a sua magnitude: a queima massiva de PGNLP causou um aumento artificial no preço relativo do token, manipulando as métricas de valor do fundo.

Ganho do Atacante: Exploração de Preços Manipulados

Aproveitando a distorção de preços gerada pela sincronização e queima de tokens, o explorador executou seu movimento final. Com o preço manipulado a seu favor, conseguiu retirar praticamente a totalidade dos USDT que permaneciam no fundo, completando assim a cadeia de eventos que resultou na perda total de $100.000.

Implicações para o Ecossistema BSC

Este incidente sublinha um padrão recorrente em vulnerabilidades de contratos inteligentes: a confluência de mecanismos aparentemente independentes pode criar vetores de ataque não previstos. Os desenvolvedores que operam na cadeia BSC e desenham protocolos com funções de queima devem reconsiderar como estas interagem com as operações de sincronização e as transferências de fundos, implementando validações adicionais que quebrem estas cadeias de exploração.