Uma plataforma de criptomoeda projetada para mover bitcoin entre blockchains sofreu uma grande violação de segurança, perdendo cerca de US$ 11 milhões em ativos digitais. O serviço, conhecido como Garden, permite que o bitcoin seja negociado e transferido entre diferentes redes usando uma ponte de cadeia cruzada.
De acordo com o cofundador da Garden, Jaz Gulati, a violação afetou um dos “solucionadores” da plataforma, um componente automatizado responsável pelas operações de liquidez e preços. Gulati disse que o protocolo principal permaneceu intacto e que nenhum fundo do cliente foi diretamente afetado. Ele confirmou que Garden está trabalhando com parceiros de segurança para rastrear os fundos roubados e fortalecer os controles internos.
O investigador de blockchain ZachXBT foi o primeiro a identificar a exploração on-chain. Ele relatou que uma das carteiras de Garden parecia ter sido comprometida e que o projeto mais tarde enviou uma mensagem ao invasor, oferecendo uma recompensa de 10% se os ativos roubados fossem devolvidos. Analistas da empresa de segurança Cyvers disseram que os fundos foram rapidamente movidos por várias transações e convertidos em outras criptomoedas, incluindo stablecoins e wrapped bitcoin, antes de serem trocados por ether.
O incidente ocorreu apenas alguns dias depois que a Garden anunciou que havia ultrapassado um marco multibilionário em valor total bloqueado. O momento intensificou o escrutínio porque o projeto já havia sido sinalizado por facilitar atividades de lavagem de dinheiro ligadas a operadoras ligadas à Coreia do Norte. Embora nenhuma evidência vincule a exploração recente a essas alegações, ela aumenta as crescentes preocupações com a segurança no setor de pontes de cadeia cruzada.
As pontes de cadeia cruzada são infraestruturas críticas em finanças descentralizadas, permitindo que os ativos digitais se movam entre blockchains. Eles também representam uma das categorias mais visadas em ataques de criptomoedas. Quando uma única ponte é comprometida, os invasores geralmente podem acessar grandes pools de capital armazenados em contratos inteligentes. Pesquisadores de segurança alertaram repetidamente que a complexidade do design desses sistemas deixa vários pontos de entrada em potencial para hackers.
Nesse caso, os investigadores dizem que a fraqueza provavelmente resultou do componente solucionador, e não dos principais contratos inteligentes do protocolo. Mesmo assim, o incidente levanta dúvidas sobre o quão isolados os módulos do Garden realmente são. Analistas do setor observam que, embora Garden afirme que os fundos dos clientes não foram afetados, a capacidade de comprometer um módulo do sistema ainda sugere segmentação ou supervisão insuficiente.
A exploração reavivou a discussão sobre transparência entre projetos descentralizados. As declarações iniciais de Garden foram criticadas por falta de detalhes técnicos sobre como a violação ocorreu ou quais vulnerabilidades específicas foram exploradas. Alguns investidores estão pedindo à empresa que encomende uma auditoria independente e publique suas descobertas. Outros questionaram se as plataformas com controvérsias anteriores de conformidade deveriam lidar com volumes tão altos de capital sem um monitoramento externo mais rigoroso.
Para o setor de criptomoedas em geral, a violação destaca dois desafios persistentes: segurança operacional fraca em protocolos menores e crescente atenção dos reguladores que rastreiam o financiamento ilícito. As pontes de cadeia cruzada tornaram-se cada vez mais ferramentas para movimentar fundos roubados ou sancionados entre jurisdições, levando os vigilantes do crime financeiro a pedir uma supervisão mais próxima desses serviços.
Se confirmado, o roubo de US$ 11 milhões se somaria a uma série de ataques de alto perfil a pontes de blockchain este ano. Incidentes anteriores tiveram como alvo protocolos semelhantes que lidam com transferências de bitcoin, ether e stablecoin, resultando em perdas combinadas de centenas de milhões de dólares em todo o setor.
Garden disse que continua monitorando as carteiras afetadas e compartilhará atualizações à medida que as investigações avançam. Embora nenhum comprometimento adicional tenha sido relatado, o incidente ressalta que mesmo os projetos estabelecidos permanecem vulneráveis a ataques direcionados contra componentes menores de sua infraestrutura.
O caso serve como outro aviso para os desenvolvedores financeiros descentralizados de que os riscos operacionais vão muito além dos principais contratos inteligentes. À medida que a tecnologia de cadeia cruzada cresce, também crescem seus desafios de segurança, tornando o monitoramento proativo e a divulgação transparente essenciais para manter a confiança no ecossistema.