BNB Chain's Four.Meme-hit med $180.000 udnyttelse: rapport

Meme-møntudvikler Four.Meme har suspenderet lancering af nye token-likviditetspuljer på PancakeSwap efter et sikkerhedsbrud.

Ifølge en meddelelse den 11. februar led den BNB Chain-baserede platform ud af en udnyttelse, der tvang den til at suspendere nogle af sine operationer, mens de behandlede problemet.

Ved skrivning var udnyttelsen endnu ikke rettet, men fra protokollens seneste opdatering lykkedes det udviklere at "med det samme løse problemet."

Four.Meme afslørede ikke detaljer om, hvordan angrebet foregik, eller omfanget af tab i forbindelse med angrebet, men forsikrede brugerne om, at interne midler forbliver sikre og "upåvirket af angrebet."

Imidlertid anslår de første estimater fra blockchain-sikkerhedsfirmaet PeckSheild nuværende tab til omkring $183.000 værd af BNB-tokens.

En post-udnyttelsesopdatering fra CertiK satte tabene lidt højere til $200k.

Hvad skete der?

Ifølge SlowMist, et andet blockchain-sikkerhedsfirma, udnyttede udnyttelsen et smuthul i, hvordan Four.Meme håndterer migrationer af likviditetspuljer.

Angriberen har angiveligt oprettet en skæv likviditetspulje på PancakeSwap v3 med en ekstrem prisubalance før en ny tokens lancering

"Da [Four.Meme] ikke tjekker puljens pris, følger den tilførte likviditet simpelthen prisen sat af den ondsindede bruger," tilføjede den. Dette gjorde det muligt for angriberen at dræne poolen.

I øjeblikket er platformen delvist i drift. On-chain handel er stadig live, hvilket giver brugerne mulighed for at fortsætte med at købe og sælge tokens.

Lanceringer af likviditetspulje (LP) på PancakeSwap er dog midlertidigt i bero, da holdet arbejder på en løsning.

Four.Meme har endnu ikke specificeret, hvornår LP-lanceringen genoptages, og udtalte, at yderligere detaljer vil blive delt i kommende meddelelser.

Nogle fællesskabsmedlemmer har dog kritiseret Four.Meme-teamet for angiveligt at ignorere adskillige advarsler om udnyttelsen.

Ifølge X indlæg set af Invezz, havde flere brugere markeret mistænkelig aktivitet i timevis, før angrebet drænede likviditet fra snesevis af meme-mønter.

En bruger hævdede, at mindst 50 tokens var blevet fuldstændig udslettet på grund af det, de kaldte "Four.Memes inkompetence."

Et andet X-indlæg, der blev lavet et par timer før, markerede Four.Memes officielle meddelelse direkte projektets officielle X-konto og opfordrede dem til at løse problemet med det samme.

On-chain data delt i posten afslører store BNB-overførsler forbundet med udnyttelsen.

DeFi-sektoren er fortsat i fare

Som tidligere rapporteret af Invezz, var omkring 53,5% af angrebene på tværs af kryptovalutasektoren rettet mod den decentraliserede finanssektor.

Nogle af de største angreb i DeFi inkluderer udnyttelsen af ​​den blockchain-baserede spilplatform PlayDapp i begyndelsen af ​​februar 2024.

Hackere kompromitterede PlayDapps smarte kontrakter og prægede et ubegrænset udbud af PLA-tokens, som derefter blev dumpet på markedet.

Udnyttelsen førte til over $290 millioner i tab og tvang platformen til at udstede en migrationsplan til en ny token-kontrakt i et forsøg på at afbøde yderligere tab.

I mellemtiden førte Gala Games- hacket i maj 2024 til omkring $200 millioner i tab, efter at en angriber udnyttede dårlig adgangskontrol over en privilegeret konto.