Passfolio

A Yuga Labs, criadora da coleção de NFTs mais conhecida do mundo, BAYC, finalmente cumpriu a promessa de revogar a propriedade do contrato dos tokens. Essa mudança foi mais significativa do que pode parecer.

Nesta semana no Cointimes, levantamos a possibilidade de criação de ilimitados Bored Apes à coleção que supostamente teria um limite de 10.000 tokens. Na verdade, tudo o que os detentores da coleção tinham até agora era uma promessa de que os criadores não iriam utilizar essa funcionalidade de criar novos NFTs à mesma coleção.

No mercado de criptomoedas, porém, sabemos o quão frágil é depender de promessas. O contrato inteligente que deu origem à Safemoon, por exemplo, era uma cópia do token BeeToken, que possuía uma brecha para os desenvolvedores roubarem a liquidez do projeto. A equipe da Safemoon garantiu que não dariam um golpe como o da BeeToken, mesmo sem revogar esse direito do contrato, mas a história acabou mal para os investidores.

A palavra da Yuga Labs, empresa por trás dos Bored Apes, também estava sendo colocada à prova. Em 2 de junho de 2021 o perfil oficial da companhia afirmou que renunciaria à propriedade do contrato, impedindo novas mudanças, em “um ou dois dias”. A promessa não foi cumprida até ontem (7/6/2022).

Passfolio

E, ao contrário do que a maioria pensa, o problema poderia ter sido muito maior do que simplesmente a criação de novos macacos, possivelmente diluindo o valor de cada um para mais de 10 mil NFTs.

Os Bored Apes poderiam literalmente sumir

O programador blockchain de pseudônimo Lemure explicou ao Cointimes que, quando a coleção BAYC foi lançada em abril de 2021, a Yuga Labs utilizava o sistema web2. “Isso significa que qualquer um com acesso ao servidor poderia trocar as imagens dos bored apes.”

Desde então, a equipe migrou para o IPFS, um protocolo que utiliza o endereçamento por conteúdo, tornando as artes atreladas aos NFTs imutáveis. No entanto, essa mudança não era suficiente enquanto uma única entidade poderia mudar o contrato quando quisesse.

De acordo com o especialista, isso abriria um vetor de ataque para alguém com acesso a chave alterar o sistema de novo, modificar as imagens dos NFTs e inclusive lucrar com isso.

“Um hacker com acesso às chaves poderia inclusive apontar os NFTs para o nada e logo depois destruir as chaves. Isso destruiria os NFTs de todos. Combinando isso com uma posição short no valor dos NFTs seria extremamente lucrativo.”

Existem diversas maneiras de apostar na baixa do preço de NFTs, já que existem plataformas que permitem o short desse tipo de ativo, além de outras plataformas que aceitam os NFTs como colateral para empréstimos. Mas, imaginando o impacto que isso poderia causar na ApeCoin, um short na criptomoeda do ecossistema poderia ser o suficiente para lucrar milhões de dólares com o ataque.

A porta de ataque esteve aberta por mais de um ano, até que o desenvolvedor TomatoBAYC queimasse a propriedade do contrato. A informação foi checada pelo Cointimes através do Etherscan.

Leia mais:

Passfolio