Nas últimas semanas, vimos um grande aumento de alegações de que "o Relay foi hackeado". Obviamente, isso é algo que levamos muito a sério e estamos investigando. TLDR: não há evidências que sugiram um problema com o Relay. Mas há absolutamente uma epidemia com carteiras comprometidas, da qual todos devem estar cientes. Aqui está o que descobrimos, depois de investigar mais de 200 relatórios: - Quase todas as vítimas têm chaves privadas comprometidas ou frases iniciais. O Relay consiste em contratos inteligentes e um aplicativo da web. Nenhum deles pode acessar sua chave privada, mesmo que tenham sido hackeados. Normalmente, eles vazam quando o armazenamento é hackeado (computador, backup em nuvem, etc.) ou o usuário é induzido a compartilhá-los - Nenhuma evidência de que os produtos oficiais da Relay foram hackeados ou envolvidos em um comprometimento - O Relay tem mais de 1 milhão de usuários mensais. E, no entanto, apenas uma pequena fração teve problemas. Em resumo, tudo sugere que esses usuários foram comprometidos externamente. Então, por que culpar o Relay? Isso decorre em parte do fato de que muitas vítimas não percebem que foram hackeadas até usarem o Relay. Talvez eles não tenham notado um esgotamento anterior, porque aconteceu em segundo plano. Ou talvez o hacker estivesse esperando que a carteira tivesse fundos suficientes antes de drená-la. Então, quando você usa o Relay e os fundos desaparecem imediatamente, é natural pensar que o Relay é o culpado. Veja este exemplo: O usuário (0x9b) fez a ponte com o Relay, mas os fundos foram enviados para um hacker (0xD0). Deve ser culpa do Relay, certo? Não! O que aconteceu aqui é que a carteira do usuário foi delegada a um contrato 7702 malicioso, e esse contrato tem uma função de fallback que envia imediatamente quaisquer tokens nativos. O hacker nem precisa fazer uma transação para drenar o usuário. Acontece automaticamente na mesma transação em que os tokens são recebidos! Se você olhar para suas transações anteriores, isso é o que você vê: 02:56:50 AM = chamada de "check-in" em algum contrato (possivelmente relacionado ao local onde o hack aconteceu) 02:56:54 = a conta foi drenada...