A plataforma sul-coreana de desenvolvimento de jogos e NFTs, PlayDapp, sofreu um grave incidente de segurança que resultou em perdas significativas. No dia 9 de fevereiro, foi detectado um vazamento de chave privada que permitiu a hackers explorar a plataforma.
🚨ALERT🚨Our system has detected a suspicious transactions with @playdapp_io
It seems that deployer's address has been compromised and attacker's address is added as a minter at https://t.co/NnsLtdl1TW
The attacker has minted 200M $PLA tokens, $31M, with initial funding from… pic.twitter.com/0btkEz2Hmx
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) February 9, 2024
A PlayDapp anunciou, pouco antes das 11h00 UTC de 13 de fevereiro, que havia interrompido seu contrato inteligente para realizar uma captura de tela para migração, enquanto o ataque continuava avançando para a nova semana.
The PLA smart contract has been paused.
We kindly request the halt of transactions to conduct a snapshot for migration.
Please understand that we are doing everything to protect holders' assets, and we will continue to keep the community updated.
— PlayDapp (@playdapp_io) February 13, 2024
A firma de segurança blockchain PeckShield identificou o vazamento após a criação de 200 milhões de tokens PLA nativos da PlayDapp, avaliados em US$ 31 milhões na época, indicando que o endereço do implantador havia sido comprometido.
Resposta ao ataque e oferta de recompensa
Em resposta ao ataque, a PlayDapp fez uma postagem no dia 10 de fevereiro, dirigida ao hacker, oferecendo uma recompensa pelo retorno dos contratos e ativos roubados e ameaçando entrar em contato com as autoridades policiais, incluindo o Federal Bureau of Investigation (FBI) dos Estados Unidos, caso não recebesse uma resposta.
We have contacted the hacker directly through an on-chain message and made an offer for a reward for the immediate return of all stolen contracts and assets.
— PlayDapp (@playdapp_io) February 10, 2024
O serviço ao cliente da PlayDapp ficou indisponível entre os dias 9 e 12 de fevereiro. A recompensa oferecida era de US$ 1 milhão caso os contratos e ativos fossem devolvidos até 13 de fevereiro; caso contrário, a mesma quantia seria oferecida como recompensa pela captura do hacker. Carteiras associadas ao hack estavam sendo etiquetadas para rastreamento.
Impacto no valor do token e medidas futuras
Após o prazo estabelecido, a PlayDapp declarou que estava trabalhando com firmas de análise e segurança blockchain, exchanges centralizadas e autoridades policiais para mitigar os danos causados pelo hack.
Além disso, em 12 de fevereiro, foram criados mais 1,59 bilhão de PLA, avaliados em US$ 253,9 milhões na época, aumentando as perdas totais. No entanto, os hackers podem enfrentar dificuldades para vender os tokens mintados ilegalmente, já que o fornecimento total de PLA antes do hack era de apenas 577 milhões.
O valor do PLA caiu de US$ 0,1823 para US$ 0,1482, com um volume de negociação que saltou para US$ 60,17 milhões no momento da redação, indicando um leve aumento desde a baixa de US$ 0,1420 registrada mais cedo no dia.
