BNB Chainin Four.Meme-hitti 180 000 dollarin hyväksikäytöllä: raportti

Meme-kolikoiden käyttöönotto Four.Meme on keskeyttänyt PancakeSwapin uusien token-likviditeettipoolien julkaisemisen tietoturvaloukkauksen vuoksi.

Helmikuun 11. päivänä julkaistun ilmoituksen mukaan BNB-ketjuun perustuva alusta kärsi hyväksikäytöstä, joka pakotti sen keskeyttämään osan toiminnoistaan ​​ongelman ratkaisemiseksi.

Kirjoittaessa hyväksikäyttöä ei ollut vielä korjattu, mutta protokollan uusimmasta päivityksestä lähtien kehittäjät onnistuivat "välittömästi puuttumaan ongelmaan".

Four.Meme ei paljastanut yksityiskohtia hyökkäyksen tapahtumisesta tai hyökkäyksen aiheuttamien menetysten laajuudesta, mutta vakuutti käyttäjille, että sisäiset varat pysyvät turvassa ja "hyökkäys ei vaikuta niihin".

Blockchain-turvayrityksen PeckSheildin alustavien arvioiden mukaan BNB-tokeneiden nykyiset tappiot ovat kuitenkin noin 183 000 dollaria.

CertiK:n hyödyntämisen jälkeinen päivitys nosti tappiot hieman suuremmiksi, 200 000 dollariin.

Mitä tapahtui?

SlowMistin, lohkoketjujen tietoturvayrityksen, mukaan hyväksikäyttö käytti hyväkseen porsaanreikää siinä, miten Four.Meme käsittelee likviditeettipoolin migraatioita.

Hyökkääjän väitetään luoneen PancakeSwap v3:ssa vääristyneen likviditeettipoolin äärimmäisen hintaepätasapainon kanssa ennen uuden tunnuksen julkaisua

"Koska [Four.Meme] ei tarkista poolin hintaa, lisätty likviditeetti yksinkertaisesti seuraa pahantahtoisen käyttäjän asettamaa hintaa", se lisäsi. Tämä antoi hyökkääjän tyhjentää altaan.

Tällä hetkellä alusta on osittain toiminnassa. Ketjukaupankäynti on edelleen käynnissä, joten käyttäjät voivat jatkaa rahakkeiden ostamista ja myyntiä.

PancakeSwapin likviditeettipoolin (LP) julkaisut ovat kuitenkin väliaikaisesti pidossa, koska tiimi työskentelee korjauksen parissa.

Four.Meme ei ole vielä määrittänyt, milloin LP-julkaisut jatkuvat, ja ilmoitti, että lisätietoja jaetaan tulevissa ilmoituksissa.

Jotkut yhteisön jäsenet ovat kuitenkin moittineet Four.Meme-tiimiä, koska sen väitetään jättäneen huomiotta useita hyväksikäyttöä koskevia varoituksia.

Invezzin näkemän X-viestin mukaan useat käyttäjät olivat ilmoittaneet epäilyttävästä toiminnasta tuntikausia ennen kuin hyökkäys tyhjensi likviditeettiä kymmenistä meemikolikoista.

Yksi käyttäjä väitti, että ainakin 50 merkkiä oli pyyhitty kokonaan pois "Four.Memen epäpätevyyden vuoksi".

Toinen X-viesti, joka tehtiin muutama tunti ennen, Four.Memen virallinen ilmoitus merkitsi suoraan projektin viralliseen X-tiliin ja kehotti heitä korjaamaan ongelman välittömästi.

Viestissä jaetut ketjun tiedot paljastavat suuria BNB-siirtoja, jotka liittyvät hyväksikäyttöön.

DeFi-sektori on edelleen vaarassa

Kuten Invezz on aiemmin raportoinut, noin 53,5 % kryptovaluuttasektorin hyökkäyksistä kohdistui hajautettuun rahoitussektoriin.

DeFin suurimpia hyökkäyksiä ovat lohkoketjupohjaisen PlayDapp-pelialustan hyväksikäyttö helmikuun 2024 alussa.

Hakkerit vaaransivat PlayDappin älykkäät sopimukset ja loivat rajoittamattoman määrän PLA-tokeneita, jotka sitten laskettiin markkinoille.

Hyödyntäminen johti yli 290 miljoonan dollarin tappioihin ja pakotti alustan laatimaan siirtymissuunnitelman uuteen merkkisopimukseen yrittääkseen lieventää lisätappioita.

Samaan aikaan Gala Games -hakkerointi toukokuussa 2024 johti noin 200 miljoonan dollarin tappioihin, kun hyökkääjä käytti hyväkseen huonoa pääsynhallintaa etuoikeutetulla tilillä.