Nas últimas semanas, vimos um grande aumento de alegações de que "Relay foi hackeado". Obviamente, isso é algo que levamos muito a sério e estamos investigando. Resumo: não há evidências que sugiram um problema com o Relay. Mas há, sem dúvida, uma epidemia de carteiras comprometidas, da qual todos devem estar cientes. Aqui está o que encontramos, após investigar mais de 200 relatos: - Quase todas as vítimas têm chaves privadas ou frases-semente comprometidas. O Relay consiste em contratos inteligentes e um aplicativo web. Nenhum desses pode acessar sua chave privada, mesmo que tenha sido hackeado. Normalmente, essas informações vazam quando o armazenamento é hackeado (computador, backup na nuvem, etc.), ou o usuário é enganado para compartilhá-las. - Zero evidências de que os produtos oficiais do Relay foram hackeados ou envolvidos em um comprometimento. - O Relay tem mais de 1 milhão de usuários mensais. E, no entanto, apenas uma fração minúscula teve problemas. Em resumo, tudo sugere que esses usuários foram comprometidos externamente. Então, por que culpar o Relay? Isso decorre em parte do fato de que muitas vítimas não percebem que foram hackeadas, até usarem o Relay. Talvez não tenham notado um esvaziamento anterior, porque aconteceu em segundo plano. Ou talvez o hacker estivesse esperando que a carteira tivesse fundos suficientes antes de esvaziá-la. Então, quando você usa o Relay e os fundos desaparecem imediatamente, é natural pensar que o Relay é o culpado. Veja este exemplo: O usuário (0x9b) fez uma ponte com o Relay, mas os fundos foram enviados a um hacker em vez disso (0xD0). Deve ser culpa do Relay, certo? Não! O que aconteceu aqui é que a carteira do usuário foi delegada a um contrato malicioso 7702, e esse contrato tem uma função de fallback que imediatamente envia qualquer token nativo. O hacker não precisa nem fazer uma transação para esvaziar o usuário. Isso acontece automaticamente na mesma transação em que os tokens são recebidos! Se você olhar para as transações passadas deles, é isso que você vê: 02:56:50 AM = chamada "check in" em algum contrato (possivelmente relacionado ao local onde o hack aconteceu) 02:56:54 AM = conta esvaziada...