Через @Michaeltalkhere (керівник групи розробників $BPET) на X щодо контракту #PvP #exploit
Як було оголошено, я хотів би розкрити подробиці експлойту та як ми повернули гроші.
По-перше, причина експлойту полягала в тому, що була помилка у функціональності «запит на обмін з #POTION на #BPET », через яку експлойтер міг вилучати надмірну кількість токенів $BPET з контракту PvP після того, як ставив свої власні токени.
Нижче наведено деякі помітні транзакції зняття коштів, здійснені експлуататором.
(https://arbiscan.io/tx/0x058b8808e721f68c01c62ad70687f38f39d749bfc9d0e8f6be839c3af603dec6)
(https://arbiscan.io/tx/0x1ad1f7536e2d91cc5aeef6e29f948ee73fa760a482b0455ca78adade83c4ef53)
(https://arbiscan.io/tx/0x500713e7c025d5ab71e2446069a46a60009ef8060d2537bc4b29296c6f76f9d7)
Відразу після того, як ми повністю дізналися про експлойт, ми зробили 2 речі
- Перевірено, чи можна зіставити адреси експлоататора з будь-якими профілями Twitter будь-яких користувачів xPet (ми виявили, що користувач зіставляється з однією з адрес експлоататора)
- Звернулися до всіх партнерів у нашій мережі, які можуть надати допомогу. Це були дослідницькі сайти, централізовані біржі, змішувачі конфіденційності, інструменти offframp і фірми безпеки.
Точніше, команда #Etherscan допомогла нам позначити всі 4 адреси, пов’язані з експлойтером на Ethereum на Arbiscan, як «xPet exploiter». Завдяки цьому адреси експлуататорів були помітно відкриті для громадськості та уважно спостерігали за ними. Усі команди централізованої біржі, змішувача конфіденційності та інструментів offframp допомогли уважно звернути увагу на те, що будь-яка адреса-експлуататор матиме взаємодію з централізованими біржовими гарячими гаманцями, контрактами змішувача конфіденційності або адресами розміщення інструментів offframp. Охоронні фірми допомогли нам відслідковувати всі, навіть найменші, onchain сліди від експлуататора
Коротше кажучи, ми об’єднали зусилля кількох сторін, щоб уважно стежити за переміщеннями експлуататорів і гарантувати, що експлуататор не має жодного шансу змішати або приховати вкрадені кошти.
