Le 10 septembre, un attaquant a drainé plus de 1,4 million de dollars de dollars synthétiques Bows Coin (BSC-USD) d'un pool de liquidités contenant des jetons CUT, selon un rapport de la plateforme de sécurité blockchain Certik. Le contrat de jeton CUT s'appuyait sur un contrat distinct, non vérifié, pour définir son paramètre de « rendement futur », et ce contrat distinct a été utilisé pour drainer le BSC-USD par une méthode inconnue.

CertiK a signalé l'événement sur X.

Source : Certik.

Le jeton CUT qui a été exploité est situé à une adresse se terminant par 36a7 sur Binance Smart Chain et est distinct du projet Crypto Unity qui a le même symbole boursier mais une adresse différente. Le pool qui a été vidé faisait partie de l'échange Pancakeswap. Aucun autre pool Pancakeswap n'aurait été affecté par cela.

Les données de la blockchain montrent que l'attaquant a effectué quatre transactions distinctes qui ont vidé le pool de BSC-USD. Le montant total supprimé s'élevait à 1 448 974 $.

Transactions d'exploitation CUT. Source : BSCScan.

L'attaquant n'avait auparavant effectué aucun dépôt dans le pool et ne possédait aucun jeton de fournisseur de liquidité pour celui-ci, ce qui rend peu probable que la transaction soit un retrait légitime.

Dans chaque transaction, l'attaquant a appelé une fonction nommée « 0x7a50b2b8 ». Mais elle n'existe pas dans le contrat du jeton. Selon le rapport, cela implique que l'attaquant a dû appeler ILPFutureYieldContract(), qui permet à l'utilisateur d'appeler une fonction distincte sur un contrat entièrement différent dont l'adresse se termine par 1154. Ce contrat distinct n'est pas vérifié et BSC Scan ne montre que du bytecode illisible pour celui-ci.

Contrat distinct utilisé dans l'exploitation de CUT. Source : BSCCan.

Cointelegraph n'a trouvé aucun site Web marketing ou compte Twitter faisant la promotion de CUT, et les investisseurs l'ont peut-être confondu avec le projet Crypto Unity sans rapport.

Magazine : 2 auditeurs ont raté une faille de 27 millions de dollars dans Penpie, le bug « claim rewards » de Pythia : Crypto-Sec

Les exploits sont un moyen courant pour les utilisateurs du Web3 de perdre des fonds. Le 3 septembre, plus de 25 millions de dollars de crypto-monnaie ont été perdus à cause d'un exploit du protocole financier décentralisé Penpie. Le 6 août, le pont du réseau de jeu Ronin a été vidé de 10 millions de dollars après qu'un attaquant a profité d'un script de déploiement défectueux. Dans ce cas, les fournisseurs de liquidités de CUT sont collectivement plus pauvres de 1,4 million de dollars en raison de l'exploit.