Kẻ tấn công rút 1,4 triệu đô la từ nhóm token CUT thông qua hợp đồng bí ẩn chưa được xác minh

Theo báo cáo từ nền tảng bảo mật blockchain Certik, một kẻ tấn công đã rút hơn 1,4 triệu đô la Bows Coin Synthetic US Dollar (BSC-USD) từ một nhóm thanh khoản nắm giữ token CUT vào ngày 10 tháng 9. Hợp đồng token CUT dựa trên một hợp đồng riêng biệt, chưa được xác minh để đặt tham số "lợi nhuận tương lai" của nó và hợp đồng riêng biệt này đã được sử dụng để rút BSC-USD thông qua một phương pháp không xác định.

CertiK đã báo cáo sự kiện trên X.

Nguồn: Certik.

Mã thông báo CUT bị khai thác nằm ở địa chỉ kết thúc bằng 36a7 trên Binance Smart Chain và tách biệt với dự án Crypto Unity có cùng ký hiệu mã chứng khoán nhưng địa chỉ khác. Nhóm bị rút là một phần của sàn giao dịch Pancakeswap. Không có nhóm Pancakeswap nào khác bị ảnh hưởng bởi nó.

Dữ liệu chuỗi khối cho thấy kẻ tấn công đã thực hiện bốn giao dịch riêng biệt để rút hết BSC-USD. Tổng số tiền bị rút là 1.448.974 đô la.

CUT khai thác giao dịch. Nguồn: BSCScan.

Kẻ tấn công trước đó không gửi bất kỳ khoản tiền nào vào nhóm và không sở hữu bất kỳ mã thông báo cung cấp thanh khoản nào, khiến giao dịch này khó có thể là giao dịch rút tiền hợp pháp.

Trong mỗi giao dịch, kẻ tấn công đã gọi một hàm có tên là “0x7a50b2b8.” Nhưng nó không tồn tại trong hợp đồng mã thông báo. Theo báo cáo, điều này ngụ ý rằng kẻ tấn công phải đã gọi ILPFutureYieldContract(), cho phép người dùng gọi một hàm riêng biệt trên một hợp đồng hoàn toàn khác có địa chỉ kết thúc bằng 1154. Hợp đồng riêng biệt này chưa được xác minh và BSC Scan chỉ hiển thị mã bytecode không thể đọc được cho hợp đồng đó.

Hợp đồng riêng biệt được sử dụng trong khai thác CUT. Nguồn: BSCSCan.

Cointelegraph không tìm thấy bất kỳ trang web tiếp thị hoặc tài khoản Twitter nào quảng bá cho CUT và các nhà đầu tư có thể đã nhầm lẫn nó với dự án Crypto Unity không liên quan.

Tạp chí: 2 kiểm toán viên bỏ lỡ lỗ hổng Penpie trị giá 27 triệu đô la, lỗi 'yêu cầu phần thưởng' của Pythia: Crypto-Sec

Khai thác là cách phổ biến để người dùng Web3 mất tiền. Vào ngày 3 tháng 9, hơn 25 triệu đô la tiền điện tử đã bị mất từ ​​một khai thác của giao thức tài chính phi tập trung Penpie. Vào ngày 6 tháng 8, cầu nối cho mạng lưới chơi game Ronin đã bị rút 10 triệu đô la sau khi một kẻ tấn công lợi dụng một tập lệnh triển khai bị lỗi. Trong trường hợp này, các nhà cung cấp thanh khoản CUT bị mất tổng cộng 1,4 triệu đô la do khai thác.