Згідно зі звітом від 19 травня фірми з безпеки блокчейнів CertiK, 1.1 травня було використано протокол децентралізованого фінансування (DeFi) WDZD Swap для ефіру, прив’язаного до Binance, на суму 21 мільйона доларів. Прив’язаний до Binance Ether представляє Ether (ETH), який був з’єднаний з BNB Smart Chain (BSC).
Згідно зі звітом, зловмисник провів дев’ять зловмисних транзакцій, які вичерпали 609 ETH, прив’язаних до Binance, на суму 1.1 мільйона доларів на момент атаки з контракту, пов’язаного з проектом WDZD.
WDZD стверджує, що це проект DeFi, який працює на BSC. Його просуває Twitter-акаунт @DZDDAO, який має понад 86,000 28,000 підписників. Канал Telegram, пов’язаний з цим акаунтом, також має 100 XNUMX користувачів. Cointelegraph не зміг перевірити, як має працювати протокол, і CertiK заявив, що він «не на XNUMX% відповідає всім механізмам проекту». Однак користувальницький інтерфейс програми передбачає, що її можна використовувати для створення токена під назвою «WDZD» в обмін на ставку ETH.
У розмові з Cointelegraph 24 травня представник CertiK повідомив, що WDZD також міг бути проданий користувачам за прив’язаний до Binance ETH як частину початкової пропозиції DEX (IDO). CertiK поділився зображенням того, що виглядає як реклама WDZD для IDO.
Адреса BSC у нижній частині оголошення – 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Дані блокчейну показують, що на цей рахунок було здійснено сотні переказів ETH. Рахунок також переказав 460 ETH на іншу адресу, де потім вони були використані для виклику функції «Додати ліквідність». Цей виклик часто використовується для внесення активу в пул ліквідності в обмін на токени LP.
Дані блокчейну показують, що депоновані 460 ETH опинилися в контракті «Swap LP» за адресою BSC 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.
19 травня відомий експлойтер під назвою «Fake_Phishing750» створив контракт, який пізніше злив токени з протоколу. Fake_Phishing750 був відповідальним за атаку на інший протокол під назвою «Swap X», — заявив CertiK.
Після того, як зловмисний контракт було створено, зловмисник використав його для виконання дев’яти транзакцій, які витягли 1.1 мільйона доларів ETH з контракту Swap LP, де ETH були депоновані.
Контракт Swap LP не перевірено BSCScan, що означає, що для нього недоступний зрозумілий людині код, що ускладнює визначення того, як саме зловмисник викачав кошти. Проте CertiK стверджував, що зловмисник міг передати токени WDZD на заводську адресу протоколу через неперевірений виклик функції. Цей WDZD потім було обміняно на токени LP, які, у свою чергу, були викуплені на основний ETH.
«Зловмисник маніпулював низькорівневим викликом у заводській адресі Swap-LP, який запустив функцію 0x33604058 пари SwapLP», — йдеться у звіті. «Це призвело до передачі всіх токенів WDZD у парі на заводську адресу. Отже, зловмиснику вдалося отримати більшу кількість SWAP LP з неперевіреної адреси 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, використовуючи менше WDZD і згодом спаливши LP для отримання прибутку».
За темою: Проект злітає з 31.6 мільйона доларів у вигляді ймовірного шахрайства
Cointelegraph спробував зв'язатися з WDZD Swap через канал команди в Telegram. Однак на каналі з’явилося повідомлення про помилку «в цій групі заборонено надсилати повідомлення», яке вказувало на те, що, можливо, налаштовано дозволяти лише публікації адміністратора.
У 2023 році крипто-спільнота постраждала від хаків, шахрайства та шахрайства. 24 квітня компанія Ordinals Finance нібито здійснила шахрайство, витягнувши активи з контрактів протоколу на суму понад 1 мільйон доларів. 2 травня було втрачено ще 1 мільйон доларів, коли зловмисник скористався помилкою в контракті Level Finance.
У травні CertiK повідомила, що збитки від експлойтів знизилися в першому кварталі, але компанія також заявила, що це, ймовірно, «тимчасова відстрочка».
Джерело: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik