Атакующий вывел $1,4 млн из пулов токенов CUT через таинственный непроверенный контракт

Согласно отчету платформы безопасности блокчейна Certik, 10 сентября злоумышленник вывел более $1,4 млн в Bows Coin Synthetic US Dollar (BSC-USD) из пула ликвидности, содержащего токены CUT.

Контракт токена CUT опирался на отдельный непроверенный контракт для установки параметра «будущей доходности», и этот отдельный контракт использовался для слива BSC-USD неизвестным способом.

CertiK сообщил о событии на X.

Атакующий вывел $1,4 млн из пулов токенов CUT через таинственный непроверенный контракт

Источник: Certik.

Эксплуатируемый токен CUT находится по адресу, заканчивающемуся на 36a7 в сети Binance Smart Chain, и отделен от проекта Crypto Unity, который имеет тот же тикер, но другой адрес. Пул, который был опустошен, был частью биржи Pancakeswap. Сообщается, что другие пулы Pancakeswap не были затронуты эксплоитом.

Данные блокчейна показывают, что злоумышленник совершил четыре отдельные транзакции, опустошив пул BSC-USD. Общая сумма изъятия составила 1 448 974 доллара США.

Атакующий вывел $1,4 млн из пулов токенов CUT через таинственный непроверенный контракт

Транзакции с использованием CUT. Источник: BSCScan.

Злоумышленник ранее не делал никаких депозитов в пул и не владел никакими токенами поставщика ликвидности для него, что делает маловероятным, что транзакция была законным снятием.

В каждой транзакции злоумышленник вызывал функцию с именем «0x7a50b2b8». Но ее нет в контракте токена. Согласно отчету, это означает, что злоумышленник должен был вызвать ILPFutureYieldContract(), что позволяет пользователю вызывать отдельную функцию в совершенно другом контракте, адрес которого заканчивается на 1154. Этот отдельный контракт не проверен, и BSC Scan показывает для него только нечитаемый байт-код.

Атакующий вывел $1,4 млн из пулов токенов CUT через таинственный непроверенный контракт

Отдельный контракт, используемый в эксплойте CUT. Источник: BSCSCan.

В то же время, поскольку нет ни одного маркетингового сайта или аккаунта Twitter, продвигающего CUT, инвесторы могли спутать его с несвязанным проектом Crypto Unity.

Эксплоиты — распространенный способ для пользователей Web3 потерять средства. 3 сентября более 25 миллионов долларов криптовалюты было потеряно из-за эксплоита децентрализованного финансового протокола Penpie. 6 августа мост для игровой сети Ronin был опустошен на 10 миллионов долларов после того, как злоумышленник воспользовался неисправным сценарием развертывания. Белый хакер позднее вернул все средства. В этом случае поставщики ликвидности CUT в совокупности стали беднее на 1,4 миллиона долларов из-за эксплоита.