BNB Chain's Four.Meme-hit med $180 000 exploatering: rapport

Meme-myntdistributören Four.Meme har stoppat lanseringen av nya token-likviditetspooler på PancakeSwap efter ett säkerhetsbrott.

Enligt ett tillkännagivande den 11 februari drabbades den BNB Chain-baserade plattformen av en exploatering som tvingade den att avbryta en del av sin verksamhet samtidigt som man åtgärdade problemet.

När man skrev kunde utnyttjandet ännu inte korrigeras, men från och med den senaste uppdateringen av protokollet lyckades utvecklarna "omedelbart lösa problemet."

Four.Meme avslöjade inte detaljer om hur attacken ägde rum eller omfattningen av förlusterna i attacken, men försäkrade användarna om att interna medel förblir säkra och "opåverkade av attacken."

Men initiala uppskattningar från blockchain-säkerhetsföretaget PeckSheild satte nuvarande förluster på ungefär 183 000 $ av BNB-tokens.

En post-exploit-uppdatering från CertiK satte förlusterna något högre till $200k.

Vad hände?

Enligt SlowMist, ett annat blockchain-säkerhetsföretag, utnyttjade exploateringen ett kryphål i hur Four.Meme hanterar migrering av likviditetspooler.

Angriparen påstås ha skapat en skev likviditetspool på PancakeSwap v3 med en extrem prisobalans innan en ny tokens lansering

"Eftersom [Four.Meme] inte kontrollerar poolens pris, följer den tillförda likviditeten helt enkelt priset som satts av den illvilliga användaren", tillade den. Detta gjorde att angriparen kunde tömma poolen.

För närvarande är plattformen delvis i drift. Handel i kedjan är fortfarande live, vilket gör att användare kan fortsätta köpa och sälja tokens.

Lanseringar av likviditetspool (LP) på PancakeSwap är dock tillfälligt pausade eftersom teamet arbetar på en fix.

Four.Meme har ännu inte specificerat när LP-lanseringar kommer att återupptas och meddelade att ytterligare detaljer kommer att delas i kommande tillkännagivanden.

Vissa communitymedlemmar har dock kritiserat Four.Meme-teamet för att de påstås ha ignorerat flera varningar om utnyttjandet.

Enligt X-inlägg från Invezz hade flera användare flaggat misstänkt aktivitet i timmar innan attacken dränerade likviditet från dussintals meme-mynt.

En användare hävdade att minst 50 tokens hade raderats helt på grund av vad de kallade "Four.Memes inkompetens."

Ett annat X-inlägg, som gjordes några timmar innan, taggade Four.Memes officiella tillkännagivande direkt projektets officiella X-konto och uppmanade dem att åtgärda problemet omedelbart.

Kedjedata som delas i inlägget avslöjar stora BNB-överföringar kopplade till exploateringen.

DeFi-sektorn är fortfarande i riskzonen

Som tidigare rapporterats av Invezz var ungefär 53,5 % av attackerna i kryptovalutasektorn riktade mot den decentraliserade finanssektorn.

Några av de största attackerna inom DeFi inkluderar utnyttjandet av den blockchain-baserade spelplattformen PlayDapp i början av februari 2024.

Hackare kompromissade med PlayDapps smarta kontrakt och skapade ett obegränsat utbud av PLA-tokens, som sedan dumpades på marknaden.

Exploateringen ledde till över 290 miljoner dollar i förluster och tvingade plattformen att utfärda en migreringsplan till ett nytt token-kontrakt i ett försök att mildra ytterligare förluster.

Samtidigt ledde Gala Games- hacket i maj 2024 till ungefär 200 miljoner dollar i förluster efter att en angripare utnyttjade dålig åtkomstkontroll över ett privilegierat konto.