📌 Um Tornado Cash reformulado – Foom.Cash – sofreu uma perda de cerca de 2,3 milhões de dólares devido a uma vulnerabilidade
O protocolo privado Foom.Cash perdeu cerca de 2,26 milhões de dólares depois de um atacante ter fabricado provas zkSNARK em resultado de definições incorrectas do verificador.
A exploração afectou contratos inteligentes nas redes Ethereum e Base, zerando 24,28 biliões de tokens FOOM, dos quais cerca de 427 000 dólares foram obtidos indevidamente e aproximadamente 1,83 milhões de dólares se deveram às acções de hackers de chapéu branco.
As organizações de segurança cibernética descobriram que a raiz do problema era uma configuração incorrecta do sistema de verificação Groth16, que permitia múltiplos levantamentos.
Foom.Cash, um fork de privacidade na blockchain Ethereum que se posiciona como uma versão aprimorada do misturador Tornado Cash sub-sancionado, supostamente perdeu cerca de US $ 2,26 milhões em tokens devido a uma vulnerabilidade em seu sistema de verificação de criptomoeda, que várias agências de análise alertaram.
O ataque, que afetou contratos em Ethereum e Base, resultou na perda de 24.283.773.519.600 tokens FOOM, o principal ativo da plataforma. Os pesquisadores de segurança observaram que a exploração é quase exatamente a mesma que uma vulnerabilidade descoberta em outro protocolo alguns dias antes.
Uma única transação na rede Base resultou em uma perda de cerca de US $ 427.000, que é atribuída ao explorador direto. As transacções Ethereum, no valor de cerca de 1,83 milhões de dólares, parecem fazer parte de uma operação de salvamento de chapéu branco.
Como é que a violação aconteceu?
GoPlus Security, uma rede de segurança Web3 supervisionada pela BinanceLabs, documentou o incidente, indicando que uma imprecisão nas configurações da chave de verificação permitiu que um fraudador forjasse registos de verificação zkSNARK. Isso permitiu-lhes fabricar credenciais criptográficas aceites pelo protocolo como legítimas e, assim, retirar uma quantidade significativa de tokens de contratos comprometidos.
Certik, uma empresa de segurança de blockchain, escreveu em sua conta X: “A principal razão provavelmente está na configuração delta2==gamma2 para o verificador Groth16 em 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Isto permite que o explorador calcule o ‘pC’ necessário para vários ‘nullifierHash’ enquanto mantém todas as outras entradas inalteradas, permitindo múltiplas recolhas de tokens ZOOM”.
Simplificando, um protocolo que promovia ativamente a quase inexpugnabilidade das suas barreiras criptográficas foi comprometido devido a um erro de configuração.
O sistema de monitorização Phalcon da BlockSec, que monitorizou a atividade suspeita em ambas as redes em tempo real, indicou que o incidente se assemelha a um ataque replicado. A empresa sublinhou que se baseava na mesma causa principal identificada no recente hack do Veil Cash.
Deve-se notar que o incidente do Veil Cash foi menor em escala, com perdas totalizando uma pequena quantidade de ETH, presumivelmente 2,9 ETH.
O que é Foom.Cash?
Foom.Cash posiciona-se como um protocolo de loteria privada baseado em ZKProof que combina o anonimato de Zcash (que opera como um blockchain privado separado), a funcionalidade DeFi do ecossistema Ethereum e um mecanismo de recompensa aleatório integrado.
Tem sido chamado de um aprimoramento do Tornado Cash e uma alternativa ao Zcash para a rede Ethereum. O Tornado Cash foi sancionado pelo Departamento do Tesouro dos EUA em 2022, mas em março de 2025, a agência suspendeu as restrições à plataforma.
De acordo com representantes do projeto, eles processam mais transações diárias do que o Tornado Cash, têm liquidez de mais de oito milhões de dólares e fornecem aos provedores de liquidez retornos anuais de 50 a 80 por cento.
O tema da privacidade em DeFi está mais uma vez a ganhar popularidade: Zcash mostrou um aumento acentuado no valor nos últimos meses, e Foom.Cash tentou capitalizar esta tendência, oferecendo anonimato dentro da infraestrutura Ethereum existente.
A plataforma utiliza uma modificação específica do zkSNARKs, que é um componente chave que fornece privacidade em protocolos reconhecidos como o Zcash.
Que medidas está a Foom.Cash a tomar para recuperar fundos e eliminar a vulnerabilidade?
Bitcoin 
Ethereum