'Tornado Cashatualizado' Foom.Cash enfrenta prejuízo de quase US$ 2,3 milhões em exploração

OCash, um protocolo de privacidade baseado em Ethereumque se posicionava como uma evolução do mixer sancionado Tornado Cash, teria perdido aproximadamente US$ 2,26 milhões em tokens após um ataque que explorou uma falha em seu sistema de verificação criptográfica, de acordo com alertas emitidos por diversas empresas de segurança blockchain.

O ataque, que atingiutracnas redes Ethereum e Base, drenou 24.283.773.519.600 tokens FOOM, o ativo nativo da plataforma, no que pesquisadores de segurança descreveram como uma exploração imitativa de uma vulnerabilidade quasedentexplorada em um protocolo diferente apenas alguns dias antes.

Uma única transação na rede Base representou aproximadamente US$ 427.000 em perdas atribuídas diretamente ao agente malicioso. Transações na Ethereum , totalizando cerca de US$ 1,83 milhão, parecem ter feito parte de uma operação de resgate realizada por hackers éticos. 

Como ocorreu a exploração da vulnerabilidade?

Binance Labs, GoPlus Security , sinalizou o ataque, relatando que uma configuração incorreta da chave de verificação permitiu ao atacante forjar provas zkSNARK. Isso permitiu que ele fabricasse credenciais criptográficas dent o protocolo aceitou como válidas e, em seguida, extraísse trac volumes de tokens dos contratos trac .

A plataforma de segurança blockchain, Certik, escreveu no X : “A causa raiz pode ser a configuração delta2==gamma2 do verificador Groth16 em 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Isso permite que o explorador calcule o 'pC' necessário para um 'nullifierHash' diferente, enquanto todas as outras entradas são as mesmas, e colete tokens ZOOM repetidamente.”

Resumindo, um protocolo cuja divulgação enfatizava a quase impossibilidade de reverter suas proteções criptográficas foi desfeito por uma configuração incorreta.

Phalcon da BlockSec , que detectou transações suspeitas em ambas as redes em tempo real, afirmou que o incidente dent ser um ataque de imitação. A empresa observou que o ataque explorou a mesma causa raiz previamente identificada dent violação de segurança da Veil Cash , ocorrida alguns dias antes.

Embora valha a pena mencionar que a violação da segurança da Veil Cash foi de escala mais limitada, com perdas restritas a uma pequena quantidade de ETH, supostamente 2,9 ETH.

O que é Foom.Cash?

Cash se posiciona como um "Protocolo de Loteria Privada com tecnologia ZKProof" que combina o anonimato do Zcash , que opera como uma blockchain de privacidade independente, a acessibilidade do DeFi do Ethereum e um mecanismo de recompensa aleatório integrado.

É apresentada como uma atualização do Tornado Cash e uma alternativa ao Zcash na Ethereum . O Tornado Cash foi alvo de sanções do Departamento do Tesouro dos EUA em 2022, mas o departamento suspendeu as sanções à plataforma em março de 2025.

Segundo a plataforma, ela processa mais transações diárias do que a Tornado Cash, possui mais de oito milhões de dólares em liquidez e gera retornos anuais de 50 a 80% para os provedores de liquidez.

A privacidade no DeFi tem despertado um interesse renovado, com Zcash registrando um aumento significativo de preço nos últimos meses, eCash Foom.Cash buscando capitalizar essa tendência ao oferecer privacidade nativamente dentro da infraestrutura existente do Ethereum.

A plataforma utilizou uma variante específica chamada zkSNARKs, que é um dos principais ingredientes por trás das garantias de privacidade em protocolos bem estabelecidos, como Zcash.

O que aCash está fazendo para recuperar os fundos e resolver o problema?

Até o momento, a única menção a uma recuperação está ligada à segunda transação, de cerca de US$ 1,83 milhão, que, segundo empresas de segurança, fez parte de uma operação de resgate realizada por agentes éticos.

No entanto, a equipe doCash ainda não mencionou ou reconheceu o ataque. Portanto, até o momento da publicação deste texto, não há informações sobre a extensão do impacto do protocolo ou sobre o que a equipe está fazendo para mitigar futuros ataques. 

A recuperação feita de forma ética sugere que a equipe pode estar trabalhando nos bastidores para recuperar os fundos e resolver os problemas subjacentes.

Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter .