$TIMECHRONO

Actualización de Transparencia Completa sobre la Explotación de TimeBridge

El 22 de abril de 2026, el TimeBridge heredado fue explotado mediante una reproducción de firma entre contratos cruzados. Debemos a la comunidad una explicación clara de lo que ocurrió, lo que perdimos y cómo estamos rectificando la situación.

Lo que ocurrió

El atacante utilizó mensajes firmados por validadores del puente CGU (Polygon) y los reprodujo contra el contrato TIME (BSC) — los dos contratos compartían un esquema de resumen de mensajes idéntico y el mismo conjunto de firmantes validadores. El contrato TIME en BSC aceptó las firmas y acuñó TIME que nunca fue bloqueado en el lado de origen.

Dos acuñaciones fraudulentas, ambas en BSC:
• 50,000 TIME — 12:59:37 UTC — transacción
• 469,000 TIME — 13:23:59 UTC — transacción

Acuñación fraudulenta total: 519,000 TIME (~$872K valor nominal).

Lo que realmente logró el atacante

Ambas partidas fueron vertidas en el pool TIME/WBNB de PancakeSwap con un deslizamiento alto. Los ingresos brutos para el atacante fueron 96.2 BNB (≈ $61,142) — aproximadamente el 7% del valor nominal que imprimieron. Aproximadamente 46.21 BNB fueron bridged a Base vía Relay; el resto es polvo.

La oferta de TIME en Ethereum y Polygon no se ve afectada. El incidente está contenido en el contrato de BSC.

Causa raíz (versión corta)

El resumen de acuñación de TIME en BSC fue construido como keccak256(abi.encodePacked(destinatario, fromChainId, toChainId, lockId, amount)) — no incluía la dirección del contrato ni un separador de dominio EIP-712. El puente CGU Polygon usó el esquema idéntico con el mismo conjunto de firmantes, por lo que una firma válida de quema CGU era bitwise-identical a una firma válida de acuñación TIME. El atacante provocó que los validadores firmaran quemas CGU y presentó esas firmas a TIME.

El TimeBridge heredado ha sido desmantelado.

Cómo estamos rectificando esto

No existe una reserva en tesorería equivalente a 519,000 TIME. No estamos pretendiendo lo contrario. En cambio, nos comprometemos a un programa mecánico de recompra y quema en cadena financiado por los nuevos ingresos de LaborX.

LaborX está pivotando para convertirse en la capa de ejecución para agentes de IA — un mercado donde los agentes de IA publican tareas y humanos verificados las completan, con escrow en cadena. Base de usuarios actual: 586K usuarios activos, +65.3% interanual. El primer entregable del producto — un servidor MCP — se lanzará en aproximadamente 90 días.

El programa:
• Fase 1 — Remediación. 20% de los ingresos brutos de la plataforma de agentes de IA → recompras de TIME en mercado abierto, quemados a 0x…dEaD, ejecutadas semanalmente. Continúa hasta que se retire la totalidad de 519,000 TIME.
• Fase 2 — Permanente. La tasa se reduce al 10% de los ingresos brutos de los agentes de IA, de forma perpetua, como una característica tokenómica permanente.
• Hashes de transacciones semanales de recompra y quema en cadena, attestación trimestral por parte de una firma de contabilidad licenciada.

Sin migración. Sin intercambio. Sin bifurcación. Sin instantánea. TIME sigue siendo TIME.

Framing honesto: el programa se activa una vez que exista ingreso real de agentes de IA — la ventana objetivo es de 4 a 6 meses desde el anuncio. No estamos comprometiendo una cifra en dólares hoy. Nos comprometemos con la mecánica, la transparencia en cadena y un objetivo en tokens de 519,000 TIME retirados.

Reconstrucción del puente

Cualquier movimiento futuro de TIME entre cadenas usará un marco de terceros (LayerZero / Wormhole / Axelar), con datos tipados EIP-712, umbral m-de-n de validadores, límites de acuñación por epoch y una auditoría independiente de nivel uno. La habilitación será controlada por auditoría, no por calendario.

Publicaremos actualizaciones semanales de progreso en este canal desde que se active la Fase 1. Sin teatro, solo hashes de transacciones.

— Equipo de ChronoTech