Atakujący wycofuje 1,4 miliona dolarów z puli tokenów CUT za pośrednictwem tajemniczego, niezweryfikowanego kontraktu

Według raportu platformy bezpieczeństwa blockchain Certik, atakujący wypompował ponad 1,4 miliona dolarów w Bows Coin Synthetic US Dollar (BSC-USD) z puli płynności przechowującej tokeny CUT 10 września. Kontrakt tokena CUT opierał się na oddzielnym, niezweryfikowanym kontrakcie, aby ustawić parametr „przyszłej rentowności”, a ten oddzielny kontrakt został użyty do wypompowania BSC-USD za pomocą nieznanej metody.

CertiK poinformował o tym wydarzeniu na kanale X.

Źródło: Certik.

Token CUT, który został wykorzystany, znajduje się pod adresem kończącym się na 36a7 na Binance Smart Chain i jest oddzielny od projektu Crypto Unity, który ma ten sam symbol giełdowy, ale inny adres. Pula, która została opróżniona, była częścią giełdy Pancakeswap. Żadne inne pule Pancakeswap nie zostały przez to dotknięte.

Dane blockchain pokazują, że atakujący wykonał cztery oddzielne transakcje opróżniając pulę BSC-USD. Całkowita kwota wypłacona wyniosła 1 448 974 USD.

CUT exploit transactions. Źródło: BSCScan.

Atakujący nie dokonywał wcześniej żadnych wpłat do puli i nie posiadał żadnych tokenów dostawcy płynności, co sprawia, że ​​mało prawdopodobne jest, aby transakcja była legalną wypłatą.

W każdej transakcji atakujący wywołał funkcję o nazwie „0x7a50b2b8”. Jednak nie istnieje ona w kontrakcie tokena. Według raportu oznacza to, że atakujący musiał wywołać ILPFutureYieldContract(), co pozwala użytkownikowi wywołać oddzielną funkcję w zupełnie innym kontrakcie, którego adres kończy się na 1154. Ten oddzielny kontrakt nie został zweryfikowany, a BSC Scan pokazuje tylko nieczytelny kod bajtowy.

Oddzielny kontrakt wykorzystany w exploicie CUT. Źródło: BSCSCan.

Serwis Cointelegraph nie znalazł żadnej strony internetowej ani konta na Twitterze promującego CUT, a inwestorzy mogli pomylić go z niezwiązanym z nim projektem Crypto Unity.

Czasopismo: 2 audytorów nie zauważyło luki w Penpie o wartości 27 mln USD, błędu „żądania nagród” Pythii: Crypto-Sec

Exploity to powszechny sposób, w jaki użytkownicy Web3 tracą fundusze. 3 września utracono ponad 25 milionów dolarów w kryptowalucie z powodu exploita protokołu zdecentralizowanych finansów Penpie. 6 sierpnia most dla sieci gier Ronin został pozbawiony 10 milionów dolarów po tym, jak atakujący wykorzystał wadliwy skrypt wdrożenia. W tym przypadku dostawcy płynności CUT są łącznie o 1,4 miliona dolarów ubożsi z powodu exploita.