Uma colisão de hash acabou com 96% do MAPO – Aqui está o que aconteceu

A MAPO caiu mais de 96% após um exploit de colisão de hash na Butter Bridge permitiu que um atacante cunhasse quase 1 quatrilhão de tokens. O Protocolo MAP suspendeu agora as negociações e planeja um novo contrato.

O token não perdeu valor lentamente. A MAPO caiu mais de 96% em questão de horas após um atacante encontrar uma maneira de convencer a Butter Bridge de que já tinha processado uma transação legítima.

A empresa de segurança Blockaid sinalizou o incidente no X, identificando o alvo como Butter Bridge V3.1, também conhecido como OmniServiceProxy. Segundo a Blockaid no X, o atacante enganou a ponte tanto na Ethereum quanto na BSC, cunhando aproximadamente 1 quatrilhão de tokens MAPO diretamente para uma carteira nova. A oferta circulante legítima era de cerca de 208 milhões. Essa matemática por si só explica a maior parte da ação de preço.

O Bug que Ninguém Detectou Até Ser Tarde Demais

A causa raiz não foi um vazamento de chaves. Não foi um problema com o contrato próprio do MAPO. Segundo a análise técnica da Blockaid no X, a ponte autenticou tentativas de mensagens entre cadeias usando keccak256(abi.encodePacked(…)) através de quatro campos dinâmicos consecutivos. O problema: abi.encodePacked não adiciona prefixos de comprimento. Alocações diferentes de campos podem produzir exatamente a mesma sequência de bytes, e portanto o mesmo hash.

O atacante inseriu uma mensagem real assinada por oráculo, apontando para um endereço pré-calculado. Ainda não existia contrato nesse endereço. A ponte armazenou uma tentativa de “NotContract”. Então, o contrato de exploração foi implantado exatamente nesse endereço.

O que veio a seguir foi uma sequência de três etapas. Segundo a Blockaid no X, o atacante chamou retryMessageIn usando limites de campo rearranjados que empacotaram na mesma string de 601 bytes. Mesmo hash, mesma passagem de segurança. A ponte cunhou 10^15 MAPO diretamente para a carteira do atacante.

Explorações de pontes entre cadeias que cunham tokens não autorizados tornaram-se um padrão recorrente na infraestrutura DeFi neste ano.

52 ETH Perdidos. Quase um Quatrilhão de Tokens Ainda Estão Lá

O atacante agiu rapidamente. A Blockaid confirmou no X que 52,21 ETH, aproximadamente 180.000 dólares, foram drenados do pool ETH/MAPO do Uniswap V4 após cerca de 1 bilhão de MAPO serem despejados nele. Esse número parece grande. Também é menos de 0,001% do que o atacante possuía.

Aproximadamente 999,999 bilhões de MAPO permaneceram na carteira do atacante no momento do relatório, segundo a Blockaid. A transação de exploração é visível no Etherscan em 0x31e56b4737649e0acdb0ebb4eca44d16aeca25f60c022cbde85f092bde27664a. O endereço do atacante é 0x40592025392BD7d7463711c6E82Ed34241B64279 e o contrato de exploração está em 0x2475396A308861559EF30dc46aad6136367a1C30.

O Protocolo MAP confirmou conhecimento do incidente no X no mesmo dia. O MAP Protocol afirmou no X que a equipe estava ciente e coordenando com parceiros de segurança externos na investigação e contenção. A ponte entre o MAPO ERC-20 e o MAPO na mainnet foi pausada.

Protocolo MAP Move-se para Invalidar as Carteiras do Atacante

No dia seguinte, a resposta mudou de contenção para uma reformulação estrutural. O MAP Protocol anunciou no X a suspensão de todos os serviços de conversão entre tokens MAPO no endereço do contrato ERC20 original 0x66d79b8f60ec93bfce0b56f5ac14a2714e509a99 em ambas as redes BSC e Ethereum e o MAPO na mainnet do MAP Protocol.

Todas as exchanges relevantes foram notificadas para desativar depósitos e retiradas desses tokens, afirmou a equipe. Os usuários foram avisados para evitar negociar MAPO associado ao contrato original em plataformas descentralizadas, incluindo Uniswap e PancakeSwap.

Um novo endereço de contrato será publicado. Uma captura de momento será feita numa data considerada adequada pelo projeto. Quaisquer tokens ainda mantidos por endereços controlados pelo atacante, que neste momento somam na casa dos centenas de bilhões, serão totalmente excluídos de qualquer conversão ou futura captura de momento.

O MAP Protocol também observou no X, em uma resposta reconhecendo o rastreamento do incidente pela PeckShield, que a equipe vinha coordenando com exchanges e parceiros desde a violação. Uma declaração oficial sobre os próximos passos, detalhes da captura de momento e o novo contrato estava sendo preparada.

Falhas em pontes têm causado uma parcela desproporcional das perdas de criptomoedas em 2026, com atacantes constantemente mirando nas interseções onde automação e confiança se sobrepõem.

Os usuários foram aconselhados pelo projeto a confiar apenas em canais oficiais. Orientações não oficiais, alertou a equipe, devem ser completamente ignoradas.