Decentralizovaný finančný (DeFi) protokol WDZD Swap bol zneužitý 19. mája na Binance-Pegged Ether v hodnote 1.1 milióna dolárov, podľa správy z 21. mája od bezpečnostnej firmy CertiK pre blockchain. Binance-Pegged Ether predstavuje éter (ETH), ktorý bol premostený do BNB Smart Chain (BSC).
Podľa správy útočník vykonal deväť škodlivých transakcií, ktoré odčerpali 609 Binance-Pegged ETH v hodnote 1.1 milióna dolárov v čase útoku zo zmluvy spojenej s projektom WDZD.
WDZD tvrdí, že ide o projekt DeFi, ktorý beží na BSC. Propaguje ho Twitter účet @DZDDAO, ktorý má viac ako 86,000 28,000 sledovateľov. Kanál Telegram prepojený s týmto účtom má tiež 100 XNUMX členov. Cointelegraph nedokázal overiť, ako má protokol fungovať, a CertiK uviedol, že „nie je XNUMX% na všetkých mechanizmoch projektu“. Z používateľského rozhrania aplikácie však vyplýva, že ju možno použiť na pestovanie tokenu s názvom „WDZD“ výmenou za stávkovanie ETH.
V rozhovore s Cointelegraph z 24. mája zástupca spoločnosti CertiK uviedol, že WDZD mohol byť tiež predaný používateľom pre Binance-Pegged ETH ako súčasť počiatočnej ponuky DEX (IDO). CertiK zdieľal obrázok toho, čo vyzerá ako reklama WDZD pre IDO.
BSC adresa v spodnej časti inzerátu je 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Údaje blockchainu ukazujú, že na tento účet boli uskutočnené stovky prevodov ETH. Účet tiež previedol 460 ETH na inú adresu, kde sa potom použil pri volaní funkcie „Pridať likviditu“. Táto výzva sa často používa na uloženie aktíva do skupiny likvidity výmenou za LP tokeny.
Údaje blockchainu ukazujú, že uložených 460 ETH skončilo v zmluve „Swap LP“ na adrese BSC 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.
19. mája známy vykorisťovateľ označený ako „Fake_Phishing750“ vytvoril zmluvu, ktorá neskôr vyčerpala tokeny z protokolu. Fake_Phishing750 bol zodpovedný za útok na iný protokol s názvom „Swap X,“ uviedol CertiK.
Akonáhle bola vytvorená škodlivá zmluva, útočník ju použil na vykonanie deviatich transakcií, ktoré odčerpali 1.1 milióna $ ETH zo zmluvy Swap LP, kde bolo ETH uložené.
Zmluva o výmene LP nie je overená BSCScan, čo znamená, že ľudský čitateľný kód pre ňu nie je dostupný, čo sťažuje presné určenie toho, ako útočník odčerpal finančné prostriedky. CertiK však tvrdil, že útočník mohol preniesť tokeny WDZD na adresu továrne protokolu prostredníctvom neovereného volania funkcie. Tento WDZD bol potom vymenený za LP tokeny, ktoré boli následne vymenené za základné ETH.
„Útočník zmanipuloval nízkoúrovňový hovor na adrese továrne Swap-LP, ktorý spustil funkciu 0x33604058 páru SwapLP,“ uvádza sa v správe. „Toto viedlo k prenosu všetkých tokenov WDZD v páre na adresu továrne. V dôsledku toho bol útočník schopný získať väčší počet SWAP LP z neoverenej adresy 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, pričom použil menej WDZD a následne napálil LP za účelom zisku.
Súvisiace: Projekt sa rozbieha s údajným podvodom pri odchode vo výške 31.6 milióna dolárov
Cointelegraph sa pokúsil kontaktovať WDZD Swap cez tímový kanál Telegram. Kanál však vytvoril chybovú správu „odosielanie správ v tejto skupine nie je povolené“, čo naznačuje, že mohol byť nastavený tak, aby povoľoval iba príspevky správcu.
Hacky, podvody a vyťahovania kobercov zasiahli kryptokomunitu v roku 2023. 24. apríla Ordinals Finance údajne vykonali vytiahnutie koberca, čím zo zmlúv protokolu odčerpali aktíva vo výške viac ako 1 milión dolárov. 2. mája sa stratil ďalší 1 milión dolárov, keď útočník zneužil chybu v zmluve Level Finance.
CertiK v máji oznámil, že straty z exploitov sa v prvom štvrťroku znížili, ale spoločnosť tiež uviedla, že ide pravdepodobne o „dočasný odklad“.
Zdroj: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik