Empat.Meme BNB Chain mendapat eksploitasi $180k: laporan

Penyedia syiling Meme Four.Meme telah menggantung pelancaran kumpulan kecairan token baharu di PancakeSwap berikutan pelanggaran keselamatan.

Menurut pengumuman pada 11 Februari, platform berasaskan Rantaian BNB mengalami eksploitasi yang memaksanya untuk menggantung beberapa operasinya semasa menangani isu tersebut.

Semasa menulis, eksploitasi itu masih belum ditampal, tetapi setakat kemas kini protokol terkini, pembangun berjaya "menyelesaikan isu itu dengan segera."

Four.Meme tidak mendedahkan butiran tentang bagaimana serangan itu berlaku atau tahap kerugian yang ditanggung dalam serangan itu tetapi meyakinkan pengguna bahawa dana dalaman kekal selamat dan "tidak terjejas oleh serangan itu."

Walau bagaimanapun, anggaran awal daripada firma keselamatan blockchain PeckSheild meletakkan kerugian semasa pada kira-kira $183,000 token BNB.

Kemas kini pasca eksploitasi daripada CertiK menyebabkan kerugian lebih tinggi sedikit pada $200k.

Apa yang berlaku?

Menurut SlowMist, rakan firma keselamatan blockchain, eksploitasi itu mengambil kesempatan daripada kelemahan dalam cara Four.Meme mengendalikan migrasi kumpulan kecairan.

Penyerang didakwa menyediakan kumpulan mudah tunai yang condong pada PancakeSwap v3 dengan ketidakseimbangan harga yang melampau sebelum pelancaran token baharu

"Memandangkan [Four.Meme] tidak menyemak harga kumpulan, kecairan yang ditambah hanya mengikut harga yang ditetapkan oleh pengguna berniat jahat," tambahnya. Ini membolehkan penyerang mengosongkan kolam.

Pada masa ini, platform masih beroperasi separa. Dagangan dalam rantaian masih disiarkan, membenarkan pengguna untuk terus membeli dan menjual token.

Walau bagaimanapun, pelancaran kumpulan kecairan (LP) di PancakeSwap ditangguhkan buat sementara waktu kerana pasukan sedang berusaha untuk membetulkannya.

Four.Meme masih belum menyatakan bila pelancaran LP akan disambung semula dan menyatakan bahawa butiran tambahan akan dikongsi dalam pengumuman akan datang.

Sesetengah ahli komuniti, bagaimanapun, telah menyelar pasukan Four.Meme kerana didakwa mengabaikan berbilang amaran tentang eksploitasi itu.

Menurut siaran X yang dilihat oleh Invezz, beberapa pengguna telah membenderakan aktiviti yang mencurigakan selama berjam-jam sebelum serangan itu mengalirkan kecairan daripada berpuluh-puluh syiling meme.

Seorang pengguna mendakwa bahawa sekurang-kurangnya 50 token telah dipadamkan sepenuhnya disebabkan oleh apa yang mereka panggil "ketidakcekapan Four.Meme."

Satu lagi siaran X, dibuat beberapa jam sebelum ini, pengumuman rasmi Four.Meme secara langsung menandakan akaun X rasmi projek itu, menggesa mereka untuk membetulkan isu tersebut dengan segera.

Data dalam rantaian yang dikongsi dalam siaran mendedahkan pemindahan BNB besar yang dikaitkan dengan eksploitasi itu.

Sektor DeFi kekal berisiko

Seperti yang dilaporkan oleh Invezz sebelum ini, kira-kira 53.5% daripada serangan merentas sektor mata wang kripto disasarkan ke arah sektor kewangan terdesentralisasi.

Beberapa serangan terbesar dalam DeFi termasuk eksploitasi platform permainan berasaskan blockchain PlayDapp pada awal Februari 2024.

Penggodam telah menjejaskan kontrak pintar PlayDapp, menghasilkan bekalan token PLA tanpa had, yang kemudiannya dibuang ke pasaran.

Eksploitasi itu membawa kepada kerugian lebih $290 juta dan memaksa platform itu mengeluarkan pelan penghijrahan kepada kontrak token baharu dalam usaha untuk mengurangkan kerugian selanjutnya.

Sementara itu, penggodaman Sukan Gala pada Mei 2024 menyebabkan kerugian kira-kira $200 juta selepas penyerang mengeksploitasi kawalan akses yang lemah ke atas akaun istimewa.