Decentralizēto finanšu (DeFi) protokols WDZD Swap tika izmantots 19. maijā par 1.1 miljonu ASV dolāru vērtu Binance-Pegged Ether, liecina blokķēdes drošības firmas CertiK 21. maija ziņojums. Binance-Pegged Ether ir ēteris (ETH), kas ir savienots ar BNB viedo ķēdi (BSC).
Saskaņā ar ziņojumu uzbrucējs veica deviņus ļaunprātīgus darījumus, kuru rezultātā no līguma, kas bija saistīts ar WDZD projektu, tika iztērēti 609 Binance-Pegged ETH, kuru vērtība uzbrukuma brīdī bija USD 1.1 miljons.
WDZD apgalvo, ka ir DeFi projekts, kas darbojas BSC. To reklamē Twitter konts @DZDDAO, kuram ir vairāk nekā 86,000 28,000 sekotāju. Ar šo kontu saistītajam Telegram kanālam ir arī 100 XNUMX dalībnieku. Cointelegraph nevarēja pārbaudīt, kā protokolam ir jādarbojas, un CertiK paziņoja, ka tas "nav XNUMX% attiecībā uz visu projekta mehāniku". Tomēr lietotnes lietotāja interfeiss nozīmē, ka to var izmantot, lai audzētu marķieri, ko sauc par “WDZD”, apmaiņā pret ETH.
24. maija sarunā ar Cointelegraph CertiK pārstāvis ziņoja, ka WDZD, iespējams, tika pārdots lietotājiem Binance-Pegged ETH kā daļa no sākotnējā DEX piedāvājuma (IDO). CertiK kopīgoja attēlu, kas, šķiet, ir WDZD reklāma IDO.
BSC adrese sludinājuma apakšā ir 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Blokķēdes dati liecina, ka uz šo kontu tika veikti simtiem ETH pārskaitījumu. Konts arī pārsūtīja 460 ETH uz citu adresi, kur tas tika izmantots funkcijas “Pievienot likviditāti” izsaukumā. Šo zvanu bieži izmanto, lai noguldītu aktīvus likviditātes pūlā apmaiņā pret LP marķieriem.
Blokķēdes dati liecina, ka noguldītie 460 ETH nonāca “Swap LP” līgumā ar BSC adresi 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.
19. maijā zināms izmantotājs ar apzīmējumu “Fake_Phishing750” izveidoja līgumu, kas vēlāk izņēma marķierus no protokola. Fake_Phishing750 bija atbildīgs par uzbrukumu citam protokolam ar nosaukumu “Swap X”, norādīja CertiK.
Tiklīdz tika izveidots ļaunprātīgais līgums, uzbrucējs to izmantoja, lai veiktu deviņus darījumus, kas no Swap LP līguma, kurā ETH bija noguldīts, iztērēja 1.1 miljonu USD ETH.
BSCScan nav apstiprinājis Swap LP līgumu, kas nozīmē, ka tam nav pieejams cilvēka nolasāms kods, tāpēc ir grūti precīzi noteikt, kā uzbrucējs ir iztērējis līdzekļus. Tomēr CertiK apgalvoja, ka uzbrucējs var pārsūtīt WDZD marķierus uz protokola rūpnīcas adresi, izmantojot nepārbaudītu funkciju zvanu. Pēc tam šis WDZD tika nomainīts pret LP marķieriem, kas, savukārt, tika izpirkti pret pamatā esošo ETH.
"Uzbrucējs manipulēja ar zema līmeņa zvanu Swap-LP rūpnīcas adresē, kas aktivizēja SwapLP pāra funkciju 0x33604058," teikts ziņojumā. “Tā rezultātā visi pārī esošie WDZD marķieri tika pārsūtīti uz rūpnīcas adresi. Līdz ar to uzbrucējs varēja iegūt lielāku skaitu SWAP LP no nepārbaudītas adreses 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, izmantojot mazāk WDZD un pēc tam peļņas gūšanas nolūkā sadedzinot LP.
Saistītie: Projekts sākas ar 31.6 miljonu ASV dolāru iespējamo izstāšanās krāpniecību
Cointelegraph mēģināja sazināties ar WDZD Swap, izmantojot komandas Telegram kanālu. Tomēr kanāls radīja kļūdas ziņojumu “Ziņojumu sūtīšana šajā grupā nav atļauta”, norādot, ka tas, iespējams, ir iestatīts tā, lai atļautu tikai administratora ziņas.
2023. gadā kriptogrāfijas kopienu ir nomocījuši uzlauzumi, krāpniecība un paklāju izņemšana. 24. aprīlī uzņēmums Ordinals Finance, iespējams, veica paklāju izvilkšanu, no protokola līgumiem iztērējot aktīvus vairāk nekā 1 miljona dolāru apmērā. 2. maijā tika zaudēts vēl viens miljons dolāru, kad uzbrucējs izmantoja kļūdu Level Finance līgumā.
CertiK maijā ziņoja, ka zaudējumi no ekspluatācijas pirmajā ceturksnī ir samazinājušies, taču uzņēmums arī paziņoja, ka tas, iespējams, ir "īslaicīgs pārtraukums".
Avots: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik