$TIMECHRONO

Вразливість TimeBridge — Повна прозорість оновлення

22 квітня 2026 року застарілий TimeBridge був зламаний через повторне використання підписів міжконтрактових транзакцій. Ми зобов’язані громадськості чесно розповісти, що сталося, що ми втратили і як ми виправляємо ситуацію.

Що сталося

Зловмисник використав підписані валідатором повідомлення з мосту CGU (Polygon) і повторно використав їх проти контракту TIME (BSC) — два контракти мали ідентичну схему дайджесту повідомлень і однаковий набір підписантів валідатора. Контракт TIME на BSC прийняв підписи і створив TIME, яке ніколи не було заблоковане на вихідній стороні.

Дві шахрайські емісії, обидві на BSC:
• 50 000 TIME — 12:59:37 UTC — транзакція
• 469 000 TIME — 13:23:59 UTC — транзакція

Загальна шахрайська емісія: 519 000 TIME (~$872K номінал).

Що насправді зрозумів зловмисник

Обидва транші були продані у пулі TIME/WBNB на PancakeSwap з великим прослизанням. Загальний дохід зловмисника склав 96,2 BNB (≈ $61,142) — приблизно 7% від номіналу, який вони створили. Близько 46,21 BNB було переказано через Relay до Base; решта — це дрібниці.

Запас TIME на Ethereum і Polygon залишився незмінним. Інцидент обмежений контрактом BSC.

Основна причина (коротко)

Дайджест емісії TIME на BSC був створений як keccak256(abi.encodePacked(recipient, fromChainId, toChainId, lockId, amount)) — він не включав адресу контракту або сепаратор домену EIP-712. Міст CGU Polygon використовував ідентичну схему з тим самим набором підписантів, тому валідний підпис CGU на згоряння був бітовою ідентичністю з валідним підписом на емісію TIME. Зловмисник спровокував валідаторів підписати згоряння CGU і подав ці підписи до TIME.

Застарілий TimeBridge був виведений з експлуатації.

Як ми виправляємо ситуацію

Немає резерву казни, рівного 519 000 TIME. Ми не приховуємо цього. Замість цього ми зобов’язуємося механічною, ончейн-програмою викупу та згорання, фінансованою новими доходами LaborX.

LaborX змінює напрямок і стане платформою для виконання AI-агентів — ринком, де AI-агенти публікують завдання, а перевірені люди їх виконують, з ончейн-ескроу. Поточна база користувачів: 586 тис. активних користувачів, +65,3% рік до року. Перший продукт — сервер MCP — буде запущений протягом приблизно 90 днів.

Програма:
• Етап 1 — Відновлення. 20% від валового доходу платформи AI-агентів → викуп TIME на відкритому ринку, згорання до 0x…dEaD, щотижня. Продовжуватиметься, доки не буде викуплено всі 519 000 TIME.
• Етап 2 — Постійний. Рівень знижується до 10% від валового доходу AI-агентів, назавжди, як постійна токеноміка.
• Щотижневі ончейн-транзакції викупу + згорання, квартальні сторонні аудити ліцензованою аудиторською фірмою.

Жодної міграції. Жодного обміну. Жодного форку. Жодного знімка. TIME залишається TIME.

Чесне формулювання: програма активується, коли з’являться реальні доходи від AI-агентів — цільовий період — 4–6 місяць від оголошення. Ми не обіцяємо сьогодні конкретну суму. Ми зобов’язуємося механікою, ончейн-прозорістю і ціллю у 519 000 TIME, які потрібно викупити та згоріти.

Відновлення мосту

Будь-який майбутній міжланцюговий рух TIME використовуватиме сторонню платформу (LayerZero / Wormhole / Axelar), з типізованими даними EIP-712, m-з- n валідаторським порогом, лімітами емісії за епоху та незалежним аудитом першого рівня. Відновлення роботи буде залежати від аудиту, а не від календарних дат.

Ми щотижня публікуватимемо оновлення прогресу у цьому каналі з моменту активації Етапу 1. Без театру, лише хеші транзакцій.

— команда ChronoTech