Злоумышленник украл цифровые активы на сумму 8,9 млн долларов США, воспользовавшись уязвимостью в цепочке на BNB биржи DeFi Safemoon.
По данным компании Peckshield, занимающейся криптобезопасностью, хакер воспользовался функцией публичного сжигания из последнего обновления сети.
Все дело в том, что она включала в себя ошибку, которая позволила хакеру скомпрометировать пул ликвидности проекта и слить активы на сумму почти в 9 миллионов долларов.
Hi @safemoon The upgrade, with the exploited public burn bug, was initiated by the official SafeMoon: Deployer. (Admin key leak?) And here comes the upgrade tx. https://t.co/ffAhm9qhgG https://t.co/KYEiYxMRII pic.twitter.com/9CQhseircP
— PeckShield Inc. (@peckshield) March 28, 2023
Разработчик Web3 Дефи Марк далее объяснил, что это позволило хакеру использовать уязвимость для изъятия токенов SafeMoon (SFM), вызвав искусственный скачок цены.
Злоумышленник воспользовался ситуацией и продал токены по завышенной цене.
“Хакер использовал эту функцию для удаления токенов SFM из Safemoon-WBNB Liquidity Pool, искусственно повышая цену SFM”, – сказал эксперт, – “Затем злоумышленник смог продать SFM в этот LP по сильно завышенной цене в рамках той же транзакции, уничтожив остатки WBNB в пуле ликвидности”.
В недавнем твите команда Safemoon подтвердила факт взлома, отметив, что LP проекта был взломан.
Не раскрывая дальнейших деталей атаки, SafeMoon подтвердила, что предпринимает шаги “для скорейшего решения проблемы”.
To the @SAFEMOON community: We want to inform you that our LP has been compromised.
We are taking swift action in an attempt to resolve the issue as soon as possible. Follow here for updates.
Thank you for your support as we work to address this situation.
— SafeMoon (@safemoon) March 28, 2023
Safemoon – это управляемый сообществом протокол DeFi с дефляционным полезным токеном SFM. Он работает на стандарте токенов BEP-20, построенном на BINANCE Smart Chain (BSC).
Проект был запущен в первом квартале 2021 года и имел ряд особенностей: статическое вознаграждение, приобретение пула ликвидности и стратегия сжигания.
Примечательно, что ранее проект был поддержан рядом знаменитостей и общественных деятелей, таких как Джейк Пол и Soulja Boy.
Однако в последнее время проект оказался в центре скандалов и юридических проблем.
В судебном иске от февраля 2022 года утверждается, что музыканты Ник Картер, Soulja Boy, Lil Yachty, а также YouTubers Джейк Пол и Бен Филлипс имитировали реальные схемы Понци, вводя инвесторов в заблуждение относительно покупки токенов SafeMoon (SFM).
Руководство Safemoon испытывает сложности
В мае прошлого года интернет-следователь Coffeezilla выдвинул ряд обвинений против основателя, ведущего разработчика и генерального директора SafeMoon. Он утверждает, что руководство использовало средства, предназначенные в пул ликвидности SafeMoon, для собственного обогащения.
Основатель SafeMoon, который известен как Кайл, и о котором очень мало информации, предположительно скопировал код другого небольшого проекта под названием Bee Token для создания SafeMoon.
Проанализировав кошельки SafeMoon и активность блокчейна, исследователь обнаружил, что Кайл медленно вытягивал средства с самого начала:
“Общая сумма SafeMoon, поступившая в кошелек Кайла, составила 164 триллиона токенов. За период с середины сентября по середину декабря это принесло ему чуть менее 10,3 миллиона долларов”.
После того как Кайл отошел от дел, лидерство в проекте перешло к ведущему разработчику Томасу “Папе” Смиту.
Однако в ходе своего расследования Coffeezilla выяснил, что Смит также забрал 143 миллиона долларов из ликвидного пула проекта в ходе 18 транзакций.