BNB Chain’s Four.Meme hit med $180k utnyttelse: rapport

Meme-myntutplasserer Four.Meme har suspendert lansering av nye token-likviditetspooler på PancakeSwap etter et sikkerhetsbrudd.

I følge en kunngjøring 11. februar led den BNB Chain-baserte plattformen en utnyttelse som tvang den til å suspendere noen av operasjonene sine mens de tok opp problemet.

Ved skriving var utnyttelsen ennå ikke rettet, men fra og med protokollens siste oppdatering klarte utviklere å “umiddelbart løse problemet.”

Four.Meme avslørte ikke detaljer om hvordan angrepet skjedde eller omfanget av tap som ble påført i angrepet, men forsikret brukerne om at interne midler forblir trygge og “upåvirket av angrepet.”

Imidlertid anslår innledende estimater fra blokkjedesikkerhetsfirmaet PeckSheild nåværende tap til omtrent $183 000 verdt av BNB-tokens.

En post-utnyttelsesoppdatering fra CertiK satte tapene litt høyere til $200k.

Hva skjedde?

I følge SlowMist, et annet blockchain-sikkerhetsfirma, utnyttet utnyttelsen et smutthull i hvordan Four.Meme håndterer migrering av likviditetspool.

Angriperen skal ha satt opp en skjev likviditetspool på PancakeSwap v3 med en ekstrem prisubalanse før lanseringen av et nytt token

“Siden [Four.Meme] ikke sjekker bassengets pris, følger den tilførte likviditeten ganske enkelt prisen satt av den ondsinnede brukeren,” la den til. Dette gjorde at angriperen kunne tømme bassenget.

For øyeblikket er plattformen delvis operativ. On-chain trading er fortsatt live, slik at brukere kan fortsette å kjøpe og selge tokens.

Lanseringer av likviditetspool (LP) på PancakeSwap er imidlertid midlertidig på vent mens teamet jobber med en løsning.

Four.Meme har ennå ikke spesifisert når LP-lanseringer vil gjenopptas og uttalte at ytterligere detaljer vil bli delt i kommende kunngjøringer.

Noen fellesskapsmedlemmer har imidlertid kritisert Four.Meme-teamet for å ha ignorert flere advarsler om utnyttelsen.

I følge X-innlegg sett av Invezz, hadde flere brukere flagget mistenkelig aktivitet i flere timer før angrepet tappet likviditet fra dusinvis av meme-mynter.

En bruker hevdet at minst 50 tokens var fullstendig utslettet på grunn av det de kalte “Four.Memes inkompetanse.”

Et annet X-innlegg, laget noen timer før, merket Four.Memes offisielle kunngjøring direkte prosjektets offisielle X-konto, og oppfordret dem til å fikse problemet umiddelbart.

Data på kjeden som deles i innlegget avslører store BNB-overføringer knyttet til utnyttelsen.

DeFi-sektoren er fortsatt i fare

Som tidligere rapportert av Invezz, var omtrent 53,5 % av angrepene på tvers av kryptovalutasektoren rettet mot den desentraliserte finanssektoren.

Noen av de største angrepene i DeFi inkluderer utnyttelsen av den blokkjedebaserte spillplattformen PlayDapp tidlig i februar 2024.

Hackere kompromitterte PlayDapps smarte kontrakter, og preget en ubegrenset forsyning av PLA-tokens, som deretter ble dumpet på markedet.

Utnyttelsen førte til over 290 millioner dollar i tap og tvang plattformen til å utstede en migrasjonsplan til en ny token-kontrakt i et forsøk på å redusere ytterligere tap.

I mellomtiden førte Gala Games- hacket i mai 2024 til omtrent 200 millioner dollar i tap etter at en angriper utnyttet dårlig tilgangskontroll over en privilegert konto.