Superfortune: A fuga da chave privada do atacante, e não o envenenamento de endereço, não é obra de um insider

A Superfortune, incubada pela Manta, publicou recentemente uma atualização na plataforma X sobre um incidente de segurança, afirmando que o ataque não foi realizado por pessoal interno e que nenhum membro da equipa esteve envolvido. A alegação de que a equipa vendeu tokens secretamente é incorreta. A equipa também não teve qualquer contacto com a Web3Port.

A investigação confirmou que o ataque não se deveu a envenenamento de endereço, mas sim a uma fuga da chave privada do signatário. O atacante detinha a chave privada de forma independente e submeteu uma transação com um endereço falsificado 43 minutos após a transação correta. O endereço falsificado partilha os primeiros e últimos quatro caracteres com o endereço correto (começando por 0x70AE e terminando em 5C15) para se disfarçar na pré-visualização da interface Safe. Os fundos roubados são totalmente rastreáveis e estão atualmente armazenados em três carteiras frias na Ethereum, contendo aproximadamente 2784 ETH, juntamente com cerca de 170.000 USDT que foram transferidos via cross-chain.

O atacante também criou um grande número de endereços contrafeitos e enviou eventos de transferência falsos para estes endereços utilizando símbolos de token forjados em Unicode, numa tentativa de confundir o rastreio. Esta técnica de construção de endereços contrafeitos é a mesma utilizada no ataque a este projeto. O atacante tinha pré-construído uma infraestrutura em larga escala, o que indica que se tratou de uma operação industrializada e não de um ataque oportunista.