Detsentraliseeritud rahanduse (DeFi) protokolli WDZD Swap kasutati 19. mail 1.1 miljoni dollari väärtuses Binance-Pegged Etheri jaoks, selgub plokiahela turvafirma CertiK 21. mai raportist. Binance-Pegged Ether esindab eetrit (ETH), mis on ühendatud BNB Smart Chainiga (BSC).
Aruande kohaselt viis ründaja läbi üheksa pahatahtlikku tehingut, mis tühjendasid WDZD projektiga seotud lepingust 609 Binance-Pegged ETH, mille väärtus oli rünnaku ajal 1.1 miljonit dollarit.
WDZD väidab end olevat DeFi projekt, mis töötab BSC-s. Seda reklaamib Twitteri konto @DZDDAO, millel on üle 86,000 28,000 jälgija. Selle kontoga seotud Telegrami kanalil on samuti 100 XNUMX liiget. Cointelegraph ei suutnud kontrollida, kuidas protokoll peaks töötama, ja CertiK teatas, et see "ei ole XNUMX% kogu projekti mehaanika osas". Rakenduse kasutajaliides viitab aga sellele, et seda saab kasutada WDZD-nimelise märgi kasvatamiseks vastutasuks ETH panuse eest.
24. mail Cointelegraphiga peetud vestluses teatas CertiKi esindaja, et WDZD võidi algse DEX-pakkumise (IDO) raames müüa ka kasutajatele Binance-Pegged ETH jaoks. CertiK jagas pilti sellest, mis näib olevat IDO WDZD reklaam.
Kuulutuse allosas olev BSC aadress on 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Plokiahela andmed näitavad, et sellele kontole tehti sadu ETH ülekandeid. Samuti kandis konto 460 ETH teisele aadressile, kus seda kasutati funktsiooni "Lisa likviidsus" kutsus. Seda kõnet kasutatakse sageli vara deponeerimiseks likviidsuskogumisse vastutasuks LP-märke.
Plokiahela andmed näitavad, et deponeeritud 460 ETH sattus BSC aadressile 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f sõlmitud "Swap LP" lepingusse.
19. mail sõlmis tuntud ärakasutaja nimega "Fake_Phishing750" lepingu, mis hiljem eemaldas märgid protokollist. Fake_Phishing750 vastutas rünnaku eest teisele protokollile nimega "Swap X", teatas CertiK.
Kui pahatahtlik leping oli loodud, kasutas ründaja seda üheksa tehingu tegemiseks, mille tulemusel saadi Swap LP lepingust, kuhu ETH deponeeriti, 1.1 miljonit dollarit ETH-d.
Swap LP lepingut ei kinnita BSCScan, mis tähendab, et selle inimloetav kood pole saadaval, mistõttu on raske täpselt kindlaks teha, kuidas ründaja raha ära kasutas. CertiK väitis aga, et ründaja võis WDZD märgid protokolli tehaseaadressile üle kanda kontrollimata funktsioonikõne kaudu. See WDZD vahetati seejärel LP-märkide vastu, mis omakorda lunastati aluseks oleva ETH vastu.
"Ründaja manipuleeris madala taseme kõnega Swap-LP tehaseaadressil, mis käivitas SwapLP paari funktsiooni 0x33604058," seisis aruandes. "Selle tulemusel kanti kõik paaris olevad WDZD märgid tehaseaadressile. Järelikult suutis ründaja hankida suurema hulga SWAP LP-sid kontrollimata aadressilt 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, kasutades vähem WDZD-d ja põletades seejärel LP-d kasumi eesmärgil.
Seotud: Projekt alustab väidetava lahkumispettusega 31.6 miljonit dollarit
Cointelegraph üritas WDZD Swapiga ühendust võtta meeskonna Telegrami kanali kaudu. Kanal andis aga veateate "Selles grupis pole sõnumite saatmine lubatud", mis näitab, et see võib olla seatud lubama ainult administraatori postitusi.
2023. aastal on krüptokogukonda vaevanud häkid, pettused ja vaipade tõmbamised. Väidetavalt korraldas Ordinals Finance 24. aprillil vaipade tõmbamise, mille tulemusel kulus protokolli lepingutest varasid üle miljoni dollari. 1. mail kaotati veel miljon dollarit, kui ründaja kasutas Level Finance'i lepingus olevat viga.
CertiK teatas mais, et ärakasutamise kahjum vähenes esimeses kvartalis, kuid ettevõte teatas ka, et see oli tõenäoliselt "ajutine peatamine".
Allikas: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik