Protokol za decentralizirano financiranje (DeFi) WDZD Swap je bil 19. maja izkoriščen za 1.1 milijona dolarjev vreden Binance-Pegged Ether, glede na poročilo podjetja za varnost verige blokov CertiK z dne 21. maja. Binance-Pegged Ether predstavlja Ether (ETH), ki je bil premoščen v BNB Smart Chain (BSC).
Glede na poročilo je napadalec iz pogodbe, povezane s projektom WDZD, izvedel devet zlonamernih transakcij, ki so izpraznile 609 ETH, vezanih na Binance, v vrednosti 1.1 milijona dolarjev v času napada.
WDZD trdi, da je projekt DeFi, ki deluje na BSC. Promovira ga Twitter račun @DZDDAO, ki ima več kot 86,000 sledilcev. Kanal Telegram, povezan s tem računom, ima prav tako 28,000 članov. Cointelegraph ni mogel preveriti, kako naj bi protokol deloval, CertiK pa je izjavil, da "ni 100-odstoten pri vseh mehanikah projekta." Vendar pa uporabniški vmesnik za aplikacijo nakazuje, da se lahko uporablja za gojenje žetona, imenovanega »WDZD«, v zameno za vlaganje ETH.
V pogovoru za Cointelegraph 24. maja je predstavnik CertiK-a poročal, da je bil WDZD morda tudi prodan uporabnikom za Binance-Pegged ETH kot del začetne ponudbe DEX (IDO). CertiK je delil sliko nečesa, kar je videti kot oglas WDZD za IDO.
Naslov BSC na dnu oglasa je 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Podatki verige blokov kažejo, da je bilo na ta račun opravljenih na stotine prenosov ETH. Račun je prav tako prenesel 460 ETH na drug naslov, kjer so bili nato uporabljeni pri klicu funkcije »Dodaj likvidnost«. Ta klic se pogosto uporablja za polog sredstva v likvidnostni sklad v zameno za žetone LP.
Podatki verige blokov kažejo, da je deponiranih 460 ETH končalo v pogodbi »Swap LP« na naslovu BSC 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.
19. maja je znani izkoriščevalec z oznako »Fake_Phishing750« ustvaril pogodbo, ki je pozneje črpala žetone iz protokola. Fake_Phishing750 je bil odgovoren za napad na drug protokol, imenovan »Swap X,« je izjavil CertiK.
Ko je bila zlonamerna pogodba ustvarjena, jo je napadalec uporabil za izvedbo devetih transakcij, ki so izčrpale 1.1 milijona $ ETH iz pogodbe Swap LP, kjer je bil ETH deponiran.
Pogodba Swap LP ni preverjena s strani BSCScan, kar pomeni, da človeku berljiva koda zanjo ni na voljo, zaradi česar je težko natančno ugotoviti, kako je napadalec črpal sredstva. Vendar je CertiK trdil, da lahko napadalec prenese žetone WDZD na tovarniški naslov protokola prek nepreverjenega klica funkcije. Ta WDZD je bil nato zamenjan za žetone LP, ki so bili nato unovčeni za osnovni ETH.
"Napadalec je manipuliral s klicem nizke ravni v tovarniškem naslovu Swap-LP, ki je sprožil funkcijo 0x33604058 para SwapLP," je navedeno v poročilu. »To je povzročilo prenos vseh žetonov WDZD v paru na tovarniški naslov. Posledično je napadalec lahko pridobil večje število SWAP LP-jev z nepreverjenega naslova 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, pri čemer je uporabil manj WDZD in nato zažgal LP-je za dobiček.«
Povezano: Projekt je uspel z 31.6 milijona dolarjev v domnevni izstopni prevari
Cointelegraph je poskušal vzpostaviti stik z WDZD Swap prek kanala Telegram ekipe. Vendar pa je kanal ustvaril sporočilo o napaki »pošiljanje sporočil ni dovoljeno v tej skupini«, kar nakazuje, da je bil morda nastavljen tako, da dovoljuje samo skrbniške objave.
Vdori, prevare in odvzemi preprog so pestili kripto skupnost leta 2023. 24. aprila je Ordinals Finance domnevno izvedel odvzem preprog, pri čemer je iz pogodb protokola izčrpal več kot 1 milijon dolarjev sredstev. 2. maja je bil izgubljen še en milijon dolarjev, ko je napadalec izkoristil napako v pogodbi Level Finance.
CertiK je maja poročal, da so se izgube zaradi podvigov v prvem četrtletju zmanjšale, vendar je družba tudi izjavila, da je to verjetno "začasen odlog".
Vir: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik