Atacatorul drenează 1,4 milioane de dolari din pool-urile de jetoane CUT printr-un contract misterios neverificat

Un atacator a drenat peste 1,4 milioane de dolari din dolar american Bows Coin Synthetic (BSC-USD) dintr-un fond de lichiditate care deținea jetoane CUT pe 10 septembrie, potrivit unui raport al platformei de securitate blockchain Certik. Contractul cu simbol CUT s-a bazat pe un contract separat, neverificat, pentru a-și stabili parametrul „randament viitor”, iar acest contract separat a fost folosit pentru a drena BSC-USD printr-o metodă necunoscută.

CertiK a raportat evenimentul pe X.

Sursa: Certik.

Tokenul CUT care a fost exploatat se află la o adresă care se termină cu 36a7 pe Binance Smart Chain și este separat de proiectul Crypto Unity care are același simbol ticker, dar o adresă diferită. Piscina care a fost drenată făcea parte din schimbul Pancakeswap. Nicio altă piscină Pancakeswap nu a fost afectată de aceasta.

Datele blockchain arată că atacatorul a făcut patru tranzacții separate, drenând fondul BSC-USD. Suma totală eliminată a fost de 1.448.974 USD.

CUT exploatează tranzacțiile. Sursa: BSCScan.

Atacatorul nu a făcut anterior nicio depunere în pool și nu deținea niciun jetoane de furnizor de lichiditate pentru acesta, ceea ce face puțin probabil ca tranzacția să fie o retragere legitimă.

În fiecare tranzacție, atacatorul a apelat o funcție numită „0x7a50b2b8”. Dar nu există în contractul de simbol. Potrivit raportului, acest lucru implică faptul că atacatorul trebuie să fi apelat ILPFutureYieldContract(), ceea ce permite utilizatorului să apeleze o funcție separată pe un contract complet diferit, a cărui adresă se termină în 1154. Acest contract separat este neverificat, iar BSC Scan afișează doar coduri de octet care nu pot fi citite. pentru asta.

Contract separat utilizat în CUT exploit. Sursa: BSCSCan.

Cointelegraph nu a putut găsi niciun site de marketing sau cont de Twitter care să promoveze CUT, iar investitorii l-au confundat cu proiectul Crypto Unity fără legătură.

Revista: 2 auditori ratează defectul Penpie de 27 de milioane de dolari, bug-ul Pythia pentru „revendicarea recompenselor”: Crypto-Sec

Exploit-urile sunt o modalitate comună pentru utilizatorii Web3 de a pierde fonduri. Pe 3 septembrie, peste 25 de milioane de dolari în cripto a fost pierdută dintr-o exploatare a protocolului de finanțare descentralizată Penpie. Pe 6 august, puntea pentru rețeaua de jocuri Ronin a fost epuizată de 10 milioane de dolari după ce un atacator a profitat de un script de implementare defect. În acest caz, furnizorii de lichidități CUT sunt, în mod colectiv, cu 1,4 milioane de dolari mai săraci din cauza exploit-ului.