O QUE ACONTECEU COM $GUA 🚨

Atualização do incidente
#GUA compartilhou na sua rede oficial X as descobertas chave e substanciais das primeiras 24 horas de investigação. (Investigação em andamento). Será realizado uma análise pós-morte completa assim que essas fases forem concluídas. As descobertas que detalhamos a seguir são as que podemos compartilhar de forma responsável neste momento.
Além disso, estamos cientes dos rumores e da desinformação que estão circulando e pretendemos abordá-los diretamente com as evidências que apresentamos em nossas descobertas. Em primeiro lugar, não se trata de um ataque interno nem há participação de qualquer equipe; as insinuações de que a equipe está shortando tokens em segredo ou algo similar são completamente falsas e podem ser comprovadas empiricamente. Em segundo lugar, e relacionado ao anterior, nunca tivemos qualquer relação com a Web3Port. Ambos os rumores são totalmente fabricados.
✅ Detalhes confirmados:
1️⃣ O ataque não consistiu na manipulação de endereços do nosso fluxo de trabalho de construção de transações. Nossa avaliação anterior de que a manipulação de endereços era improvável foi confirmada por provas forenses diretas. O membro da equipe que propôs a transação multifirma (Signatário 1) assinou o endereço do destinatário correto, 0x70ae7D3DECfB4C3aE996fb1c07092566F73D5c15, às 03:17 UTC do dia 27 de maio, durante a chamada de verificação interna. A carga útil assinada é mantida integralmente nos registros do dispositivo local, com o endereço e o valor corretos.
2️⃣ O ataque consistiu na vulneração da chave privada do referido signatário. Uma assinatura válida independente —para uma transação diferente com o endereço do atacante, 0x70AE678b457C5E1b3fD7AD9537F234dFc1795C15, como destinatário— foi enviada ao Serviço de Transações Seguras às 04:00 UTC, 43 minutos depois. Esta segunda assinatura é criptograficamente válida para a mesma carteira, mas não aparece nos registros do dispositivo local do Signatário 1. O mecanismo que explica isso é que o atacante possuía a chave privada de forma independente e assinou a transação substituída fora da infraestrutura do Signatário 1.
Os demais signatários revisaram a transação em fila na interface do Safe. O endereço do atacante foi construído especificamente para compartilhar os mesmos quatro primeiros e quatro últimos caracteres hexadecimais que o destinatário correto: ambos começam com 0x70AE e terminam com 5C15. Este padrão de endereços falsos é usado para parecer como o endereço correto na pré-visualização da interface do usuário do Safe. Gerar esses endereços falsos requer tempo e recursos, e implica premeditação e planejamento por parte do atacante (mais detalhes no ponto 4). Após a confirmação da pré-visualização, os demais signatários assinaram a transação. A execução na cadeia ocorreu às 17:59:24 UTC.
3️⃣ Os fundos estão completamente rastreados e atualmente estão depositados em Ethereum. Aproximadamente quatro horas após a execução, o atacante liquidou os tokens GUA roubados no PancakeSwap, transferiu os lucros para uma carteira operacional (0xb292a7016c0008e786edca46459ccee063673afb), converteu o valor para Ethereum através de protocolos entre cadeias e consolidou aproximadamente 2783,99 ETH em três carteiras de armazenamento a frio que atualmente mantêm os fundos sem saídas:
- 0x111b78A86C16dBD4261FCb5C7D3A9dAF25E2b589
- 0x7b8f28Ff2E1D4DF2D8ddD1daBaFf8c3E58FE841C
- 0xfa4cb6add9da4a4b714541b98fd4b2e3da86b7c8
- Uma carteira separada. Aproximadamente 170.121 USDT foram transferidos.
4️⃣ O atacante utiliza uma infraestrutura substancial e reutilizável. O endereço do hub operacional e os três endereços de armazenamento a frio de Ethereum estão cercados por endereços falsos, criados por força bruta, que o atacante injeta com eventos de transferência falsos usando símbolos de token falsificados com Unicode (ETH, EṬH, ĖTḨ). A mesma técnica de criação de endereços falsos gerou o endereço usado contra nosso projeto. A magnitude e a preparação prévia dessa infraestrutura indicam uma operação industrializada, em vez de um ataque pontual e oportunista.
Continuaremos publicando atualizações importantes à medida que a investigação avança, protegendo as informações que poderiam comprometer os fluxos de trabalho ativos. Continuamos colaborando estreitamente com as autoridades, especialistas em segurança cibernética e serviços de rastreamento. Agradecemos a paciência da comunidade.