Egy ismeretlen támadó 1,4 millió dollárt szipkázott ki a CUT token likviditási pooljából egy rejtélyes, ellenőrizetlen szerződés segítségével, megrázva a kriptoközösséget.
Hogyan történt a támadás
Szeptember 10-én egy támadó több mint 1,4 millió dollár értékű Binance-Pegged Tether-t (BSC-USD) vont ki a CUT token likviditási pooljából. A CertiK blokklánc-biztonsági platform jelentése szerint a támadás egy ismeretlen módszerrel történt. A CUT token szerződése egy különálló, ellenőrizetlen szerződésre támaszkodott a „jövőbeli hozam” paraméter beállításához, amit a támadó kihasznált. Négy különálló tranzakció során a támadó kisöpörte a likviditási poolt, összesen 1 448 974 dollárt eltávolítva- írja a cointelegraph.com.
A titokzatos, ellenőrizetlen szerződés
A támadó olyan funkciókat használt, amelyek nem léteznek a token szerződésében, például a „0x7a50b2b8” függvényt. Ez arra utal, hogy a támadó az ILPFutureYieldContract() nevű funkciót használta, amely lehetővé teszi egy teljesen másik, ellenőrizetlen szerződés bevonását. Ennek a szerződésnek a címe 1154-re végződik, és a BscScan csak olvashatatlan bájtkódot mutat róla. Az ellenőrizetlen szerződés megléte és használata tette lehetővé a támadást.
Az áldozatok és a következmények
A támadás következtében a CUT token likviditásszolgáltatói összesen 1,4 millió dollárt veszítettek. Érdekes módon a támadó korábban nem tett letétet a poolba, és nem rendelkezett likviditásszolgáltató tokenekkel sem, ami kizárja a legitim visszavonás lehetőségét. A PancakeSwap tőzsdén történt az incidens, de más poolokat nem érintett. A CUT token, amelyet megtámadtak, a BNB Smart Chain-en található, és nem azonos a Crypto Unity projekttel, amely ugyanazt a szimbólumot használja, de más címmel rendelkezik.
Gyakori problémák a DeFi világában
Az ilyen jellegű kihasználások sajnos gyakoriak a Web3 és a decentralizált pénzügyek (DeFi) területén. Szeptember 3-án például több mint 25 millió dollárnyi kriptót veszítettek el a Penpie DeFi protokoll kihasználása miatt. Augusztus 6-án pedig a Ronin játék hálózatából 10 millió dollárt loptak el egy hibás telepítési szkript kihasználásával. A jelen esetben a CUT likviditásszolgáltatói közösen 1,4 millió dollárral lettek szegényebbek a támadás miatt.
Hozzászólnál a témához? Véleményed elmondhatod Discord szerverünkön.