وفقًا لتقرير صادر عن منصة أمان blockchain Certik، قام أحد المهاجمين باستنزاف ما يزيد عن 1.4 مليون دولار أمريكي من Bows Coin Synthetic US Dollar (BSC-USD) من مجموعة سيولة تحتوي على رموز CUT في 10 سبتمبر. اعتمد عقد رمز CUT على عقد منفصل غير مُتحقق منه لتعيين معلمة “العائد المستقبلي”، وتم استخدام هذا العقد المنفصل لاستنزاف BSC-USD من خلال طريقة غير معروفة.
أبلغت CertiK عن الحدث على X.
مصدر: سيرتيك.
يقع رمز CUT الذي تم استغلاله في عنوان ينتهي بـ 36a7 على Binance Smart Chain وهو منفصل عن مشروع Crypto Unity الذي يحمل نفس رمز التداول ولكن عنوانًا مختلفًا. كانت المجموعة التي تم استنزافها جزءًا من بورصة Pancakeswap. ولم يتم الإبلاغ عن تأثر أي مجموعات Pancakeswap أخرى بذلك.
تظهر بيانات Blockchain أن المهاجم أجرى أربع معاملات منفصلة لاستنزاف مجموعة BSC-USD. وكان المبلغ الإجمالي الذي تمت إزالته 1,448,974 دولارًا.
استغلال معاملات CUT. المصدر: BSCScan.
لم يقم المهاجم بإجراء أي إيداعات سابقة للمجمع ولم يكن يمتلك أي رموز لمزود السيولة له، مما يجعل من غير المحتمل أن تكون المعاملة سحبًا مشروعًا.
متعلق ب: تم الإشادة بالهاكر بعد سرقة 27 مليون دولار من بروتوكول Penpie DeFi
في كل معاملة، قام المهاجم باستدعاء وظيفة تسمى “0x7a50b2b8”. لكنها غير موجودة في عقد الرمز. وفقًا للتقرير، فإن هذا يعني أن المهاجم يجب أن يكون قد استدعى ILPFutureYieldContract()، والتي تسمح للمستخدم باستدعاء وظيفة منفصلة على عقد مختلف تمامًا ينتهي عنوانه بالرقم 1154. هذا العقد المنفصل غير مُتحقق منه، ولا يُظهر فحص BSC سوى بايت كود غير قابل للقراءة له.
عقد منفصل تم استخدامه في استغلال CUT. المصدر: BSCSCan.
ولم يتمكن موقع كوينتيليغراف من العثور على أي موقع تسويقي أو حساب تويتر يروج لـ CUT، وربما خلط المستثمرون بينه وبين مشروع Crypto Unity غير ذي الصلة.
مجلة: 2 من المدققين يغفلون عن ثغرة بقيمة 27 مليون دولار في Penpie، وخطأ “المطالبة بالمكافآت” في Pythia: Crypto-Sec
تعد الثغرات الأمنية طريقة شائعة لخسارة مستخدمي Web3 للأموال. في 3 سبتمبر، فُقدت أكثر من 25 مليون دولار من العملات المشفرة بسبب استغلال بروتوكول التمويل اللامركزي Penpie. في 6 أغسطس، تم استنزاف 10 ملايين دولار من جسر شبكة الألعاب Ronin بعد أن استغل أحد المهاجمين نصًا برمجيًا خاطئًا للنشر. في هذه الحالة، أصبح مزودو السيولة CUT أقل بنحو 1.4 مليون دولار بسبب الاستغلال.
