$TIMECHRONO

Atualização de Transparência Completa sobre a Exploração do TimeBridge

Em 22 de abril de 2026, o TimeBridge legado foi explorado através de uma reprodução de assinatura entre contratos. Devemos à comunidade uma explicação clara do que aconteceu, o que perdemos e como estamos a corrigir a situação.

O que aconteceu

O atacante usou mensagens assinadas por validadores do ponte CGU (Polygon) e as reproduziu contra o contrato TIME (BSC) — os dois contratos compartilhavam um esquema de digest de mensagem idêntico e o mesmo conjunto de assinantes validadores. O contrato TIME na BSC aceitou as assinaturas e cunhou TIME que nunca foi bloqueado do lado de origem.

Duas cunhagens fraudulentas, ambas na BSC:
• 50.000 TIME — 12:59:37 UTC — transação
• 469.000 TIME — 13:23:59 UTC — transação

Cunhagem fraudulenta total: 519.000 TIME (~$872K valor nominal).

O que o atacante realmente percebeu

Ambas as frações foram despejadas na pool TIME/WBNB do PancakeSwap com alta slippage. Os lucros brutos para o atacante foram 96,2 BNB (≈ $61.142) — aproximadamente 7% do valor nominal que imprimiram. Cerca de 46,21 BNB foram bridged para o Base via Relay; o restante é pó.

O fornecimento de TIME na Ethereum e Polygon não foi afetado. O incidente está contido ao contrato BSC.

Causa raiz (versão curta)

O digest de cunhagem do TIME na BSC foi construído como keccak256(abi.encodePacked(destinatário, fromChainId, toChainId, lockId, amount)) — não incluía o endereço do contrato nem um separador de domínio EIP-712. A ponte CGU Polygon usou o esquema idêntico com o mesmo conjunto de assinantes, portanto uma assinatura válida de queima CGU era bitwise-igual a uma assinatura válida de cunhagem TIME. O atacante provocou os validadores a assinarem queimas CGU e submeteu essas assinaturas ao TIME.

O TimeBridge legado foi desativado.

Como estamos a corrigir isso

Não há reserva de tesouraria equivalente a 519.000 TIME. Não estamos a fingir o contrário. Em vez disso, estamos a comprometer-nos com um programa mecânico de recompra e queima na cadeia, financiado por novas receitas do LaborX.

O LaborX está a pivotar para se tornar a camada de execução para agentes de IA — um mercado onde agentes de IA publicam tarefas e humanos verificados as completam, com escrow na cadeia. Base de utilizadores atual: 586 mil utilizadores ativos, +65,3% YoY. Primeira entrega de produto — um servidor MCP — será lançado em cerca de 90 dias.

O programa:
• Fase 1 — Remediação. 20% da receita bruta da plataforma de agentes de IA → recompra de TIME no mercado aberto, queimada para 0x…dEaD, executada semanalmente. Continua até que os 519.000 TIME sejam totalmente retirados.
• Fase 2 — Permanente. A taxa diminui para 10% da receita bruta de agentes de IA, perpetuamente, como uma característica tokenômica permanente.
• Recompra e queima semanal na cadeia + hashes de transações, atestação trimestral por uma firma de contabilidade licenciada.

Sem migração. Sem troca. Sem fork. Sem snapshot. TIME permanece TIME.

Framing honesto: o programa ativa-se assim que houver receita real de agentes de IA — janela alvo é do mês 4 ao 6 após o anúncio. Não estamos a comprometer um valor em dólares hoje. Estamos a comprometer-nos com mecânicas, transparência na cadeia e uma meta tokenizada de 519.000 TIME retirados.

Reconstrução da ponte

Qualquer movimento futuro de TIME entre cadeias usará uma estrutura de terceiros (LayerZero / Wormhole / Axelar), com dados tipados EIP-712, limiares m-de-n de validadores, limites de cunhagem por época, e uma auditoria independente de nível um. A reativação será controlada por auditoria, não por calendário.

Publicaremos atualizações semanais de progresso neste canal a partir do momento em que a Fase 1 for ativada. Sem teatro, apenas hashes de transações.

— Equipa ChronoTech