Solana projeto de estabilidade Nirvana Finance reinicia: o início e o fim do primeiro caso de condenação por ataque a contratos inteligentes

Na semana passada, a dinâmica do mercado financeiro chamou a atenção, com o Federal Reserve a adotar uma política de corte de juros relativamente agressiva, enquanto o Banco do Japão manteve o status quo. Isso indica que, a curto prazo, é improvável que surjam informações excessivamente negativas. Para analisar esta situação, é necessário focar em dois pontos-chave: a recuperação do mercado de trabalho e os riscos de reinício da inflação.

No entanto, uma notícia notável é que o projeto de stablecoin algorítmica Nirvana Finance na Solana anunciou o relançamento da versão V2. O projeto foi forçado a interromper suas operações em julho de 2022 após um ataque hacker que resultou em perdas superiores a 3,5 milhões de dólares. O recente relançamento significa que as autoridades judiciais relevantes podem ter concluído o tratamento dos fundos roubados. Este pode ser o primeiro caso nos Estados Unidos a resultar em condenação devido a um ataque a contratos inteligentes, tendo um significado histórico para o sistema de direito marítimo, com potencial para melhorar significativamente a eficiência no tratamento de casos desse tipo.

O contexto do ataque de empréstimo relâmpago à Nirvana Finance

Nirvana Finance é um projeto de stablecoin algorítmica no ecossistema Solana, lançado no início de 2022. Em 28 de julho de 2022, o projeto sofreu um ataque hacker, resultando no roubo de todos os colaterais da stablecoin NIRV (cerca de 3,5 milhões de dólares). Embora o contrato do projeto não tenha sido open source, o hacker utilizou a funcionalidade de empréstimos relâmpago de uma certa plataforma de empréstimos descentralizada para realizar o ataque, o que levantou algumas dúvidas sobre a possibilidade de um ato interno da equipe.

É importante notar que o projeto alegou ter concluído a "auditoria automatizada" antes de ser atacado, mas claramente não teve um bom resultado. O cofundador Alex Hoffman revelou mais tarde em uma entrevista à mídia que a equipe planejava iniciar o trabalho de auditoria na semana em que o ataque ocorreu. Ele admitiu que, no início do projeto, não previu que receberia tanta atenção, até que várias mídias chinesas relatassem, momento em que o valor total bloqueado (TVL) do projeto aumentou rapidamente.

Após o projeto ter alcançado um sucesso inicial, o CEO de uma determinada blockchain sugeriu pessoalmente a realização de uma auditoria de contratos inteligentes e tentou acelerar o processo de auditoria. No entanto, após o roubo de garantias, o projeto entrou em estagnação, mantendo apenas um nível mínimo de operação nas redes sociais. A comunidade continua a monitorar os fundos roubados, mas, devido ao uso de ferramentas de mistura e moedas de privacidade pelos hackers, os esforços para recuperar os fundos não tiveram sucesso.

Mudança de caso e progresso judicial

No dia 14 de dezembro de 2023, houve um grande progresso no caso. Um ex-engenheiro de segurança de software sênior de uma grande empresa de tecnologia, chamado Shakeeb Ahmed, reconheceu no tribunal do distrito sul de Nova York as acusações de fraude computacional relacionadas ao ataque cibernético à Nirvana Finance e a outra exchange de criptomoedas descentralizada não nomeada. O escritório do promotor dos EUA afirmou que este é o primeiro caso a resultar em condenação devido a um ataque a contratos inteligentes.

O fundador da Nirvana Finance não parou de inovar após o ataque ao projeto, passando a desenvolver outros projetos. Em 15 de abril de 2024, Ahmed foi condenado a três anos de prisão por invadir e fraudar duas exchanges de criptomoedas. Em 6 de junho, os fundos roubados foram devolvidos à conta designada do projeto, marcando a recuperação oficial dos fundos.

Rastreabilidade do Caso e Identidade do Hacker

Na verdade, a origem de todo o caso deve ser outra exchange descentralizada, a Nirvana Finance, que foi revelada como um caso adicional apenas após a prisão do hacker. Ahmed era na época um engenheiro de segurança sênior em uma empresa de tecnologia internacional, especializado em contratos inteligentes e auditoria de blockchain, e era proficiente em engenharia reversa de software. Isso explica por que a Nirvana foi atacada mesmo sem ter o código aberto.

De acordo com documentos divulgados pelo Departamento de Justiça dos EUA, o caso teve origem em um ataque a uma exchange descentralizada em julho de 2022, que resultou em perdas de cerca de 9 milhões de dólares. Ahmed atacou a plataforma através de um ataque de empréstimo relâmpago e propôs um plano de " recompensa de chapéu branco".

A chave para a captura de Ahmed pode residir em dois pontos: primeiro, os atacantes tiveram interações com certos endereços de exchanges centralizadas; segundo, houve erros no uso de ferramentas de mistura, levando a que o fluxo de fundos pudesse ser rastreado. Isso sugere que as autoridades judiciais podem colaborar com exchanges centralizadas para finalmente capturá-lo em Nova Iorque.

A resolução bem-sucedida deste caso não só soou o alarme de segurança para os desenvolvedores de DApp, mas também fornece uma referência para o tratamento de casos semelhantes, com a esperança de ter um efeito dissuasor sobre comportamentos ilegais relacionados.