Protokół zdecentralizowanych finansów (DeFi) WDZD Swap został wykorzystany 19 maja za Binance-Pegged Ether o wartości 1.1 miliona dolarów, zgodnie z raportem z 21 maja firmy CertiK zajmującej się bezpieczeństwem blockchain. Binance-Pegged Ether reprezentuje Ether (ETH), który został połączony z BNB Smart Chain (BSC).
Według raportu, atakujący przeprowadził dziewięć złośliwych transakcji, które wyczerpały 609 Binance-Pegged ETH, o wartości 1.1 miliona dolarów w momencie ataku, z kontraktu związanego z projektem WDZD.
WDZD twierdzi, że jest projektem DeFi działającym na BSC. Promuje ją konto na Twitterze @DZDDAO, które ma ponad 86,000 28,000 obserwujących. Kanał Telegramu powiązany z tym kontem ma również 100 XNUMX członków. Cointelegraph nie mógł zweryfikować, jak protokół ma działać, a CertiK stwierdził, że „nie zapewnia on XNUMX% wszystkich mechanizmów projektu”. Jednak interfejs użytkownika aplikacji sugeruje, że można jej używać do farmowania tokena o nazwie „WDZD” w zamian za obstawianie ETH.
W rozmowie z Cointelegraph z 24 maja przedstawiciel CertiK poinformował, że WDZD mogło być również sprzedawane użytkownikom za Binance-Pegged ETH w ramach wstępnej oferty DEX (IDO). CertiK udostępnił obraz czegoś, co wydaje się być reklamą WDZD dla IDO.
Adres BSC na dole reklamy to 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Dane Blockchain pokazują, że na to konto dokonano setek przelewów ETH. Konto przesłało również 460 ETH na inny adres, gdzie zostało następnie użyte w wywołaniu funkcji „Dodaj płynność”. To wezwanie jest często używane do zdeponowania aktywów w puli płynności w zamian za tokeny LP.
Dane Blockchain pokazują, że zdeponowane 460 ETH trafiło do kontraktu „Swap LP” pod adresem BSC 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.
19 maja znany exploit oznaczony jako „Fake_Phishing750” stworzył kontrakt, który później usunął tokeny z protokołu. Fake_Phishing750 był odpowiedzialny za atak na inny protokół o nazwie „Swap X”, stwierdził CertiK.
Po utworzeniu złośliwego kontraktu atakujący wykorzystał go do wykonania dziewięciu transakcji, które pozbawiły 1.1 miliona dolarów ETH z kontraktu Swap LP, w którym zdeponowano ETH.
Kontrakt Swap LP nie został zweryfikowany przez BSCScan, co oznacza, że jego kod czytelny dla człowieka jest niedostępny, co utrudnia dokładne określenie, w jaki sposób atakujący uszczuplił fundusze. Jednak CertiK twierdził, że atakujący mógł przesłać tokeny WDZD na adres fabryczny protokołu poprzez niezweryfikowane wywołanie funkcji. Ten WDZD został następnie wymieniony na tokeny LP, które z kolei zostały wymienione na bazowy ETH.
„Atakujący zmanipulował wywołanie niskiego poziomu w adresie fabrycznym Swap-LP, które uruchomiło funkcję 0x33604058 pary SwapLP” – stwierdzono w raporcie. „Spowodowało to przeniesienie wszystkich tokenów WDZD w parze na adres fabryczny. W rezultacie osoba atakująca była w stanie uzyskać większą liczbę płyt SWAP LP z niezweryfikowanego adresu 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, zużywając mniej WDZD, a następnie spalając płyty LP dla zysku”.
Związane z: Projekt startuje z rzekomym oszustwem o wartości 31.6 mln USD
Cointelegraph próbował skontaktować się z WDZD Swap za pośrednictwem kanału Telegram zespołu. Jednak kanał wygenerował komunikat o błędzie „wysyłanie wiadomości nie jest dozwolone w tej grupie”, wskazując, że mógł zostać ustawiony tak, aby zezwalał tylko na posty administratora.
Hacki, oszustwa i manipulacje nękały społeczność kryptograficzną w 2023 r. 24 kwietnia firma Ordinals Finance rzekomo dokonała oszustwa, drenując aktywa o wartości ponad 1 miliona dolarów z kontraktów protokołu. 2 maja kolejny milion dolarów został utracony, gdy atakujący wykorzystał błąd w kontrakcie Level Finance.
CertiK poinformował w maju, że straty spowodowane exploitami spadły w pierwszym kwartale, ale firma stwierdziła również, że prawdopodobnie było to „tymczasowe wytchnienie”.
Źródło: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik