$TIMECHRONO

TimeBridge 漏洞 — 完整透明度更新

在2026年4月22日，傳統的 TimeBridge 被利用了跨合約簽名重放的方式。我們欠社群一個坦率的說明，說明發生了什麼，我們損失了什麼，以及我們如何彌補。

發生了什麼

攻擊者使用來自 CGU (Polygon)橋的驗證者簽名訊息，並將其重放到 TIME (BSC) 合約上——這兩個合約共享相同的訊息摘要方案和相同的驗證者簽名者集。BSC TIME 合約接受了這些簽名，並鑄造了從未在源端鎖定的 TIME。

兩次欺詐性鑄幣，皆在 BSC：
• 50,000 TIME — 12:59:37 UTC — 交易
• 469,000 TIME — 13:23:59 UTC — 交易

總欺詐鑄幣：519,000 TIME (~$872K 名義價值)。

攻擊者實際獲得的結果

這兩批資金被大量滑點地拋入 PancakeSwap TIME/WBNB 流動性池。攻擊者的總收益為 96.2 BNB (≈ $61,142)——大約是他們鑄造的名義價值的 7%。約有 46.21 BNB 被橋接到 Base 透過 Relay；其餘為零星碎片。

以太坊和 Polygon 上的 TIME 供應未受影響。事件僅限於 BSC 合約。

根本原因 (簡短版本)

BSC TIME 鑄幣摘要是以 keccak256(abi.encodePacked(recipient, fromChainId, toChainId, lockId, amount)) 建立的——未包含合約地址或 EIP-712 域分隔符。CGU Polygon 橋使用相同的架構和相同的簽名者集，因此有效的 CGU 燒毀簽名與有效的 TIME 鑄幣簽名在位元層面完全相同。攻擊者促使驗證者簽署 CGU 燒毀，並將這些簽名提交給 TIME。

傳統的 TimeBridge 已經退役。

我們如何彌補

沒有等同 519,000 TIME 的金庫儲備。我們不會假裝有。相反，我們承諾一個機械式、鏈上回購銷毀計劃，資金來自新 LaborX 收入。

LaborX 正轉型為 AI 代理的執行層——一個市場，AI 代理發布任務，經驗證的人類完成，並有鏈上托管。當前用戶基礎：586K 活躍用戶，年增長率 65.3%。第一個產品交付物——一個 MCP 伺服器——將在約 90 天內推出。

計劃：
• 第一階段——補救。20% 的 AI 代理平台總收入用於公開市場的 TIME 回購，銷毀至 0x…dEaD，每週執行。持續直到全部 519,000 TIME 被回收。
• 第二階段——永久。比例降低至 10% 的 AI 代理總收入，永久作為一個常設的代幣經濟特徵。
• 每週鏈上回購與銷毀交易哈希，季度由持牌會計公司進行第三方驗證。

無遷移。無交換。無分叉。無快照。TIME 就是 TIME。

誠實的說法：該計劃在真正的 AI 代理收入出現後啟動——目標時間為公告後第 4 至 6 個月。我們今天不承諾一個金額。我們承諾的是機制、鏈上透明度，以及 519,000 TIME 的退役目標。

橋接重建

未來任何跨鏈 TIME 流動都將使用第三方框架 (LayerZero / Wormhole / Axelar 類型)，配備 EIP-712 類型資料、多簽驗證閾值、每個時段的鑄幣上限，以及獨立的 Tier-One 審計。重新啟用將由審計門控，而非日曆門控。

我們將從第一階段啟動起，在此頻道每週發布進展更新。沒有戲劇性，只有交易哈希。

— ChronoTech 團隊