$TIMECHRONO

Atualização de Transparência Completa sobre a Exploração do TimeBridge

Em 22 de abril de 2026, o TimeBridge legado foi explorado por meio de uma reprodução de assinatura entre contratos. Devemos à comunidade uma explicação clara do que aconteceu, o que perdemos e como estamos corrigindo a situação.

O que aconteceu

O atacante usou mensagens assinadas por validadores do ponte CGU (Polygon) e as reproduziu contra o contrato TIME (BSC) — os dois contratos compartilhavam um esquema de digest de mensagem idêntico e o mesmo conjunto de assinantes validadores. O contrato TIME na BSC aceitou as assinaturas e cunhou TIME que nunca foi bloqueado no lado de origem.

Duas cunhagens fraudulentas, ambas na BSC:
• 50.000 TIME — 12:59:37 UTC — transação
• 469.000 TIME — 13:23:59 UTC — transação

Cunhagem fraudulenta total: 519.000 TIME (~$872K valor nominal).

O que o atacante realmente percebeu

Ambas as parcelas foram despejadas na pool TIME/WBNB do PancakeSwap com alta slippage. Os lucros brutos para o atacante foram 96,2 BNB (≈ $61.142) — aproximadamente 7% do valor nominal que eles criaram. Cerca de 46,21 BNB foram bridged para o Base via Relay; o restante é pó.

O fornecimento de TIME na Ethereum e Polygon não foi afetado. O incidente está contido ao contrato na BSC.

Causa raiz (versão curta)

O digest de cunhagem do TIME na BSC foi construído como keccak256(abi.encodePacked(destinatário, fromChainId, toChainId, lockId, amount)) — não incluía o endereço do contrato nem um separador de domínio EIP-712. A ponte CGU Polygon usou o esquema idêntico com o mesmo conjunto de assinantes, então uma assinatura válida de queima CGU era bitwise-igual a uma assinatura válida de cunhagem TIME. O atacante provocou os validadores a assinarem queimas CGU e submeteu essas assinaturas ao TIME.

O TimeBridge legado foi desativado.

Como estamos corrigindo isso

Não há reserva de tesouraria equivalente a 519.000 TIME. Não estamos fingindo o contrário. Em vez disso, estamos comprometidos com um programa mecânico de recompra e queima na cadeia, financiado por novas receitas do LaborX.

O LaborX está mudando para se tornar a camada de execução para agentes de IA — um mercado onde agentes de IA postam tarefas e humanos verificados as completam, com escrow na cadeia. Base de usuários atual: 586 mil usuários ativos, +65,3% ano a ano. Primeira entrega de produto — um servidor MCP — será lançado em cerca de 90 dias.

O programa:
• Fase 1 — Remediação. 20% da receita bruta da plataforma de agentes de IA → recompra de TIME no mercado aberto, queimada para 0x…dEaD, executada semanalmente. Continua até que os 519.000 TIME totais sejam retirados.
• Fase 2 — Permanente. A taxa diminui para 10% da receita bruta de agentes de IA, perpetuamente, como uma característica tokenômica permanente.
• Hashes de transações semanais de recompra + queima na cadeia, atestação trimestral por terceiros por uma firma de contabilidade licenciada.

Sem migração. Sem troca. Sem fork. Sem snapshot. TIME permanece TIME.

Framing honesto: o programa ativa assim que houver receita real de agentes de IA — janela alvo é do mês 4 ao 6 após o anúncio. Não estamos comprometendo um valor em dólares hoje. Estamos comprometidos com a mecânica, transparência na cadeia e uma meta tokenizada de 519.000 TIME retirados.

Reconstrução da ponte

Qualquer movimento futuro de TIME entre cadeias usará uma estrutura de terceiros (LayerZero / Wormhole / Axelar), com dados tipados EIP-712, limiar m-de-n de validadores, limites de cunhagem por época e uma auditoria independente de nível um. A reabilitação será auditada, não limitada ao calendário.

Publicaremos atualizações semanais de progresso neste canal a partir do momento em que a Fase 1 for ativada. Sem teatro, apenas hashes de transações.

— Equipe ChronoTech