Protocolul de finanțare descentralizată (DeFi) WDZD Swap a fost exploatat pe 19 mai pentru Binance-Pegged Ether în valoare de 1.1 milioane de dolari, potrivit unui raport din 21 mai al firmei de securitate blockchain CertiK. Binance-Pegged Ether reprezintă Ether (ETH) care a fost conectat la BNB Smart Chain (BSC).
Potrivit raportului, un atacator a efectuat nouă tranzacții rău intenționate care au drenat 609 Binance-Pegged ETH, în valoare de 1.1 milioane de dolari la momentul atacului, dintr-un contract asociat cu proiectul WDZD.
WDZD pretinde a fi un proiect DeFi care rulează pe BSC. Este promovat de contul de Twitter @DZDDAO, care are peste 86,000 de urmăritori. Canalul Telegram legat de acest cont are și 28,000 de membri. Cointelegraph nu a putut verifica cum ar trebui să funcționeze protocolul, iar CertiK a declarat că „nu este 100% pe toată mecanica proiectului”. Cu toate acestea, interfața de utilizator a aplicației implică faptul că poate fi folosită pentru a genera un token numit „WDZD” în schimbul mizarii ETH.
Într-o conversație din 24 mai cu Cointelegraph, un reprezentant de la CertiK a raportat că este posibil ca WDZD să fi fost vândut și utilizatorilor pentru Binance-Pegged ETH ca parte a unei oferte inițiale DEX (IDO). CertiK a distribuit o imagine a ceea ce pare a fi o reclamă WDZD pentru un IDO.
Adresa BSC din partea de jos a reclamei este 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Datele blockchain arată că în acest cont au fost efectuate sute de transferuri de ETH. Contul a transferat, de asemenea, 460 ETH la o altă adresă, unde a fost apoi folosit într-un apel de funcție „Adăugați lichiditate”. Acest apel este adesea folosit pentru a depune un activ într-un fond de lichiditate în schimbul jetoanelor LP.
Datele blockchain arată că cei 460 ETH depuși au ajuns în contractul „Swap LP” la adresa BSC 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.
Pe 19 mai, un exploatator cunoscut etichetat „Fake_Phishing750” a creat contractul care mai târziu a scurs tokenurile din protocol. Fake_Phishing750 a fost responsabil pentru un atac asupra unui alt protocol numit „Swap X”, a declarat CertiK.
Odată ce contractul rău intenționat a fost creat, atacatorul l-a folosit pentru a efectua nouă tranzacții care au scurs 1.1 milioane de dolari ETH din contractul Swap LP în care fusese depus ETH.
Contractul Swap LP nu este verificat de BSCScan, ceea ce înseamnă că codul care poate fi citit de om nu este disponibil, ceea ce face dificilă determinarea exactă a modului în care atacatorul a scurs fondurile. Cu toate acestea, CertiK a susținut că atacatorul ar putea transfera jetoane WDZD la adresa din fabrică a protocolului printr-un apel de funcție neverificat. Acest WDZD a fost apoi schimbat cu jetoane LP, care, la rândul lor, au fost răscumpărate pentru ETH-ul de bază.
„Atacatorul a manipulat un apel de nivel scăzut în adresa fabricii Swap-LP, care a declanșat funcția 0x33604058 a perechii SwapLP”, se arată în raport. „Aceasta a dus la transferul tuturor jetoanelor WDZD din pereche la adresa fabricii. În consecință, atacatorul a reușit să achiziționeze un număr mai mare de LP-uri SWAP de la adresa neverificată 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, folosind mai puține WDZD și, ulterior, arzând LP-urile pentru profit.”
Related: Proiectul demarează cu 31.6 milioane USD în presupusă înșelătorie de ieșire
Cointelegraph a încercat să contacteze WDZD Swap prin canalul Telegram al echipei. Cu toate acestea, canalul a produs un mesaj de eroare „Trimiterea de mesaje nu este permisă în acest grup”, indicând faptul că este posibil să fi fost setat să permită numai postări de administrator.
Hack-uri, escrocherii și trageri de covoare au afectat comunitatea cripto în 2023. Pe 24 aprilie, Ordinals Finance ar fi efectuat o tragere de covor, drenând active de peste 1 milion de dolari din contractele protocolului. Pe 2 mai, un alt milion de dolari a fost pierdut când un atacator a exploatat o eroare dintr-un contract Level Finance.
CertiK a raportat în mai că pierderile din exploatare au scăzut în primul trimestru, dar compania a mai declarat că aceasta a fost probabil o „amânare temporară”.
Sursa: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik