Virtuals Protocol corrige bug crítico e promete recompensar pesquisador
O Virtuals Protocol, uma empresa de blockchain especializada em agentes de inteligência artificial, resolveu um bug crítico em um de seus contratos inteligentes auditados.
Um pesquisador de segurança identificou uma vulnerabilidade crítica no contrato auditado do projeto, solicitando uma correção urgente. Assim, a empresa também relançou seu programa de recompensa por bugs para evitar vulnerabilidades futuras.
Vulnerabilidade do Virtuals Protocol pode bloquear lançamentos de tokens: isso é um bug ou recurso do contrato inteligente?
Na sexta-feira (03/01), o pesquisador de segurança Jinu descobriu uma vulnerabilidade crítica em um dos contratos inteligentes auditados do Virtuals Protocol.
O pesquisador relatou o problema imediatamente ao Virtuals Protocol, mas a empresa não tinha um programa de recompensa por bugs ativo.
Portanto, apesar do seu potencial impacto no ecossistema do protocolo, a descoberta não se qualificou para uma recompensa.
A vulnerabilidade decorrente do mecanismo de lançamento de tokens da plataforma no Uniswap V2 foi exposta.
A falha está em como o Virtuals cria pares de tokens, um processo semelhante ao método da Pump.fun de lançar tokens por meio de limites de preço e mecanismos de vinculação.
O pesquisador de segurança Jinu identificou um problema crítico que poderia impedir o Virtuals de lançar novos tokens.
Assim, ele destacou que o processo de criação do AgentToken usa a biblioteca Clones, o que torna os endereços de tokens futuros previsíveis com base no nonce do contrato AgentFactoryV3. Um nonce é um valor numérico usado em um processo de tentativa e erro para que um bloco seja adicionado à blockchain.
Além disso, outra função no contrato AgentToken acionava uma função do Uniswap V2 permitindo criar um par sem verificar se um semelhante já existe.
Se houver, a fábrica do Uniswap V2 reverte a transação. Essa falha também permite a criação de pares com contratos inexistentes.
Um invasor poderia explorar essa falha criando um par com o nonce previsto, assim, impedindo que o Virtuals de lançar seus tokens. Jinu demonstrou essa exploração usando uma prova de conceito no Tenderly.
Jinu recomendou modificar o contrato AgentToken.sol para verificar pares existentes no Uniswap V2 antes de tentar a criação, ignorando o processo se um par já existir.
Porém, apesar da gravidade do problema, o Virtuals não respondeu, até mesmo fechando seu grupo no Discord dedicado para relatar vulnerabilidades.
Jinu expressou frustração com o descuido, comentando: “Estou surpreso de que um projeto tão grande e quente como o Virtuals não se importe com segurança.”
Virtuals Protocol agradece a Jinu por destacar a falha: o que vem a seguir para as recompensas por bugs?
Após a divulgação pública do problema pela Jinu no X (antigo Twitter), o Virtuals Protocol entrou em contatou o pesquisador e implementou uma correção rápida.
Aliás, a empresa reconheceu a gravidade do bug e pediu desculpas pela falha de comunicação inicial.
Em uma mensagem para Jinu, o Virtuals Protocol disse:
“Verificamos a vulnerabilidade e aplicamos um patch. Obrigado por nos informar sobre isso. Pedimos desculpas pela falha de comunicação e revisaremos a gravidade do problema para determinar uma recompensa por bug.”
Assim, eles corrigiram a vulnerabilidade atualizando o contrato para incluir as etapas de validação necessárias. Para transparência, o novo contrato e os detalhes da correção foram publicados no BaseScan e no GitHub.
No entanto, o Virtuals Protocol ainda não confirmou o valor da recompensa pela descoberta de Jinu. A empresa declarou que está avaliando internamente o impacto da vulnerabilidade antes de definir uma recompensa.
Leia mais:
- Bitcoin em alta: o que esperar em janeiro?
- Analista diz que 2025 será ano de consolidação do Ethereum
- Mercado de meme coins cresceu 500% em 2024
Por que confiar em nós?
2M+
250+
8
70
Mais Artigos
in numbers
