$TIMECHRONO

Pembobolan TimeBridge — Pembaruan Transparansi Penuh

Pada 22 April 2026, TimeBridge warisan dieksploitasi melalui replay tanda tangan lintas kontrak. Kami berhutang kepada komunitas penjelasan langsung tentang apa yang terjadi, apa yang kami kehilangan, dan bagaimana kami memperbaikinya.

Apa yang terjadi

Penyerang menggunakan pesan yang ditandatangani validator dari jembatan CGU (Polygon) dan memainkannya kembali terhadap kontrak TIME (BSC) — kedua kontrak berbagi skema digest pesan yang sama dan set penandatangan validator yang sama. Kontrak TIME di BSC menerima tanda tangan tersebut dan mencetak TIME yang tidak pernah dikunci di sisi sumber.

Dua pencetakan palsu, keduanya di BSC:
• 50.000 TIME — 12:59:37 UTC — transaksi
• 469.000 TIME — 13:23:59 UTC — transaksi

Total pencetakan palsu: 519.000 TIME (~$872K nilai).

Apa yang sebenarnya disadari penyerang

Kedua tranche tersebut dijual ke kolam TIME/WBNB di PancakeSwap dengan slippage besar. Hasil bruto ke penyerang adalah 96,2 BNB (≈ $61.142) — sekitar 7% dari nilai yang mereka cetak. Sekitar 46,21 BNB dibawa ke Base melalui Relay; sisanya adalah sisa.

Pasokan TIME di Ethereum dan Polygon tidak terpengaruh. Insiden ini terbatas pada kontrak BSC.

Akar penyebab (versi singkat)

Digest pencetakan TIME di BSC dibangun sebagai keccak256(abi.encodePacked(recipient, fromChainId, toChainId, lockId, amount)) — tidak menyertakan alamat kontrak atau separator domain EIP-712. Jembatan CGU Polygon menggunakan skema yang sama dengan set penandatangan yang sama, sehingga tanda tangan pembakaran CGU yang valid bitwise-identik dengan tanda tangan pencetakan TIME yang valid. Penyerang memprovokasi validator untuk menandatangani pembakaran CGU dan mengajukan tanda tangan tersebut ke TIME.

TimeBridge warisan telah dihentikan.

Bagaimana kami memperbaikinya

Tidak ada cadangan treasury yang setara dengan 519.000 TIME. Kami tidak berpura-pura sebaliknya. Sebaliknya, kami berkomitmen pada program buyback dan pembakaran otomatis di chain yang didanai oleh pendapatan LaborX yang baru.

LaborX beralih menjadi lapisan eksekusi untuk agen AI — pasar di mana agen AI memposting tugas dan manusia terverifikasi menyelesaikannya, dengan escrow di chain. Basis pengguna saat ini: 586K pengguna aktif, +65,3% YoY. Produk pertama — server MCP — akan diluncurkan dalam ~90 hari.

Program:
• Fase 1 — Perbaikan. 20% dari pendapatan bruto platform agen AI → pembelian TIME di pasar terbuka, dibakar ke 0x…dEaD, dilakukan setiap minggu. Berlanjut sampai seluruh 519.000 TIME dihapus.
• Fase 2 — Permanen. Tingkat turun menjadi 10% dari pendapatan bruto agen AI, selamanya, sebagai fitur tokenomik tetap.
• Hash transaksi buyback + burn mingguan di chain, attestasi pihak ketiga kuartalan oleh firma akuntansi berlisensi.

Tanpa migrasi. Tanpa swap. Tanpa fork. Tanpa snapshot. TIME tetap TIME.

Penggambaran jujur: program ini aktif setelah pendapatan agen AI nyata ada — target waktu adalah bulan ke-4–6 dari pengumuman. Kami tidak berkomitmen pada angka dolar hari ini. Kami berkomitmen pada mekanisme, transparansi di chain, dan target yang didenominasikan token sebanyak 519.000 TIME yang dihapus.

Perbaikan jembatan

Setiap pergerakan TIME lintas chain di masa depan akan menggunakan kerangka pihak ketiga (LayerZero / Wormhole / Axelar), dengan data bertipe EIP-712, ambang validator m-of-n, batas pencetakan per epoch, dan audit tier-one independen. Pengaktifan kembali diaudit dan tidak bergantung pada kalender.

Kami akan menerbitkan pembaruan kemajuan mingguan di saluran ini sejak fase 1 diaktifkan. Tanpa drama, hanya hash transaksi.

— Tim ChronoTech