L’exploit di Shibarium sventato mentre gli aggressori prendono di mira 1 milione di dollari in token BONE

L'ecosistema Shiba Inu è sotto esame dopo che un exploit sul bridge di Shibarium ha tentato di sottrarre oltre 1 milione di dollari in token BONE.

I dati on-chain hanno mostrato un tentativo di spostare circa 4,6 milioni di BONE, attirando immediatamente la risposta degli sviluppatori del progetto.

L’exploit del Bridge di Shiba Inu coincide con un importante aggiornamento di ShibaSwap

Il 13 settembre, Kaal Dhairya, uno sviluppatore di Shiba Inu, ha spiegato che l’exploit non era dovuto a una falla nel protocollo sottostante. Invece, l’attaccante aveva ottenuto il controllo delle chiavi dei validatori, il che gli ha permesso di approvare uno stato fraudolento della rete.

La manovra è stata resa possibile da un flash loan, suggerendo mesi di preparazione e una profonda comprensione del design del bridge.

Investigatori indipendenti all’interno della community hanno ricostruito come si è svolta l’operazione.

Secondo Buzz, un collaboratore di K9 FinanceDAO, l’exploiter ha utilizzato un flash loan su ShibaSwap per acquistare milioni di BONE e ottenere temporaneamente influenza sui validatori.

L’hacker ha utilizzato un flash loan da Shibaswap per 4,6 milioni di BONE (il famoso acquisto di BONE da 1 milione di dollari che la gente stava celebrando) e li ha delegati per ottenere la maggioranza del potere di voto sui validatori, il che gli ha permesso di firmare uno stato malevolo sulla chain. L’hacker *potrebbe* aver saputo di aver compromesso…

— Buzz.eth (@buzzdefi0x) 13 settembre 2025

Con quella quota, hanno approvato la transazione malevola e contemporaneamente hanno rimborsato il prestito utilizzando i fondi sottratti dal bridge.

In totale, i registri blockchain mostrano che sono stati sottratti 224,57 ETH e 92,6 miliardi di token SHIB.

Nel frattempo, circa 216 ETH sono stati utilizzati per saldare il prestito, mentre i BONE delegati sono rimasti bloccati a causa dei ritardi nello sblocco dello staking. Gli sviluppatori hanno congelato quei token prima che potessero essere prelevati.

L’attaccante ha anche tentato di vendere circa 700.000 dollari in token KNINE. Quel tentativo è stato fermato quando il multisig di K9 DAO ha provveduto a inserire nella blacklist il wallet coinvolto.

Gli sviluppatori di Shiba Inu hanno sospeso le operazioni di staking per contenere l’impatto dell’exploit. Hanno inoltre trasferito i fondi del gestore dello staking in un hardware wallet protetto da un multisig sei-su-nove.

Dhairya ha descritto queste misure come temporanee fino a quando nuove chiavi non saranno distribuite in modo sicuro e la portata completa dell’incidente non sarà confermata.

La violazione è avvenuta in concomitanza con il lancio di un importante aggiornamento di ShibaSwap. La nuova versione si estende oltre Ethereum a Polygon, Arbitrum, Base e altre reti, consentendo swap diretti di token senza bridge esterni.

Lucie, una leader dell’ecosistema Shiba Inu, ha affermato che l’aggiornamento rafforza il ruolo di ShibaSwap come piattaforma multi-chain progettata per attrarre liquidità e preparare il terreno per una più profonda integrazione di Shibarium.

“Questo aggiornamento posiziona ShibaSwap per attrarre liquidità dalle principali blockchain, aprendo la strada all’integrazione di Shibarium. Rafforza l’Ecosistema Shib come una rete che collega la cultura della community con un’infrastruttura finanziaria seria,” ha dichiarato Lucie.