Four.Meme z BNB Chain padło ofiarą ataku o wartości 180 tys. dolarów: raport

Four.Meme, platforma do tworzenia memecoinów, zawiesiła uruchamianie nowych puli płynności tokenów na PancakeSwap po naruszeniu bezpieczeństwa.

Jak podano w komunikacie z 11 lutego, platforma oparta na BNB Chain padła ofiarą ataku, który zmusił ją do wstrzymania niektórych operacji w celu rozwiązania problemu.

W momencie pisania tego artykułu luka nie została jeszcze naprawiona, ale najnowsza aktualizacja protokołu pozwoliła deweloperom „natychmiast rozwiązać problem”.

Cztery. Meme nie ujawnił szczegółów dotyczących przebiegu ataku ani zakresu poniesionych strat, ale zapewnił użytkowników, że wewnętrzne fundusze pozostają bezpieczne i „nie zostały dotknięte atakiem”.

Jednakże wstępne szacunki firmy zajmującej się bezpieczeństwem blockchain, PeckShield, wyceniają obecne straty na około 183 000 tokenów BNB.

Aktualizacja po eksploicie opublikowana przez CertiK wykazała, że straty wzrosły nieznacznie do 200 tys. dolarów.

Co się stało?

Według SlowMist, innej firmy zajmującej się bezpieczeństwem blockchain, atak wykorzystuje lukę w sposobie, w jaki Four.Meme obsługuje migracje puli płynności.

Według oskarżeń napastnik utworzył zniekształcony pułap płynności na PancakeSwap v3 z ekstremalnym brakiem równowagi cenowej przed wprowadzeniem nowego tokena.

„Ponieważ [Four.Meme] nie sprawdza ceny puli, dodana płynność po prostu podąża za ceną ustaloną przez złośliwego użytkownika” – dodano. Umożliwiło to napastnikowi opróżnienie puli.

Obecnie platforma działa częściowo. Handel na łańcuchu bloków nadal jest aktywny, co pozwala użytkownikom na kupowanie i sprzedawanie tokenów.

Jednakże uruchomienie puli płynności (LP) na PancakeSwap zostało tymczasowo wstrzymane, ponieważ zespół pracuje nad rozwiązaniem problemu.

Cztery. Meme nie podało jeszcze daty wznowienia sprzedaży LP i poinformowało, że dodatkowe szczegóły zostaną podane w nadchodzących komunikatach.

Niektórzy członkowie społeczności skrytykowali zespół Four.Meme za rzekomą ignorancję wielokrotnych ostrzeżeń dotyczących podatności.

Jak wynika z postów na X, które zobaczył Invezz, wielu użytkowników zgłaszało podejrzane działania przez wiele godzin, zanim atak spowodował wyczerpanie płynności w przypadku dziesiątek memecoinów.

Jeden z użytkowników twierdził, że z powodu, jak to nazwał, „niekompetencji Four.Meme” zniknęło co najmniej 50 tokenów.

Kolejny wpis na X, opublikowany kilka godzin wcześniej, oficjalne ogłoszenie Four.Meme bezpośrednio oznaczyło oficjalne konto projektu na X, wzywając do natychmiastowego rozwiązania problemu.

Dane z łańcucha udostępnione w poście ujawniają duże przelewy BNB związane z eksploatacją.

Sektor DeFi nadal jest narażony na ryzyko

Jak wcześniej informował Invezz, około 53,5% ataków w sektorze kryptowalut było skierowanych przeciwko sektorowi finansów zdecentralizowanych.

Do największych ataków w DeFi należą m.in. wykorzystanie luk w zabezpieczeniach platformy gier PlayDapp opartej na blockchainie na początku lutego 2024 r.

Hakerzy włamali się do inteligentnych kontraktów PlayDapp, emitując nieograniczoną liczbę tokenów PLA, które następnie zostały wyrzucone na rynek.

Wykorzystanie luki spowodowało straty przekraczające 290 milionów dolarów i zmusiło platformę do opracowania planu migracji do nowego kontraktu tokenowego w celu ograniczenia dalszych strat.

Tymczasem włamanie na Gala Games w maju 2024 r. spowodowało straty w wysokości około 200 milionów dolarów, po tym jak napastnik wykorzystał słabą kontrolę dostępu do uprzywilejowanego konta.