Superfortune: O vazamento da chave privada do atacante, e não o envenenamento de endereço, não é obra de um insider
A Superfortune, incubada pela Manta, publicou recentemente uma atualização na plataforma X sobre um incidente de segurança, afirmando que o ataque não foi realizado por pessoal interno e que nenhum membro da equipe esteve envolvido. A alegação de que a equipe vendeu tokens secretamente é incorreta. A equipe também não teve qualquer contato com a Web3Port.
A investigação confirmou que o ataque não se deveu a envenenamento de endereço, mas sim a um vazamento da chave privada do signatário. O atacante detinha a chave privada de forma independente e enviou uma transação com um endereço falsificado 43 minutos após a transação correta. O endereço falsificado compartilha os primeiros e últimos quatro caracteres com o endereço correto (começando com 0x70AE e terminando com 5C15) para se disfarçar na visualização da interface Safe. Os fundos roubados são totalmente rastreáveis e estão atualmente armazenados em três carteiras frias na Ethereum, contendo aproximadamente 2784 ETH, juntamente com cerca de 170.000 USDT que foram transferidos via cross-chain.
O atacante também criou um grande número de endereços falsificados e enviou eventos de transferência falsos para esses endereços usando símbolos de token forjados em Unicode, na tentativa de confundir o rastreamento. Essa técnica de construção de endereços falsificados é a mesma utilizada no ataque a este projeto. O atacante havia pré-construído uma infraestrutura em larga escala, indicando que se tratou de uma operação industrializada e não de um ataque oportunista.



