Ang decentralized finance (DeFi) protocol na WDZD Swap ay pinagsamantalahan noong Mayo 19 para sa $1.1 milyon na halaga ng Binance-Pegged Ether, ayon sa ulat noong Mayo 21 mula sa blockchain security firm na CertiK. Kinakatawan ng Binance-Pegged Ether ang Ether (ETH) na na-bridge sa BNB Smart Chain (BSC).
Ayon sa ulat, nagsagawa ang isang attacker ng siyam na nakakahamak na transaksyon na nag-drain ng 609 Binance-Pegged ETH, na nagkakahalaga ng $1.1 milyon sa oras ng pag-atake, mula sa isang kontrata na nauugnay sa proyekto ng WDZD.
Sinasabi ng WDZD na isang proyekto ng DeFi na tumatakbo sa BSC. Ito ay pino-promote ng Twitter account na @DZDDAO, na mayroong mahigit 86,000 followers. Ang Telegram channel na naka-link sa account na ito ay mayroon ding 28,000 miyembro. Hindi ma-verify ng Cointelegraph kung paano dapat gumana ang protocol, at sinabi ng CertiK na ito ay "hindi 100% sa lahat ng mekanika ng proyekto." Gayunpaman, ipinahihiwatig ng user interface para sa app na maaari itong magamit upang magsasaka ng token na tinatawag na "WDZD" kapalit ng staking ETH.
Sa isang pag-uusap noong Mayo 24 kasama ang Cointelegraph, isang kinatawan mula sa CertiK ang nag-ulat na ang WDZD ay maaaring naibenta rin sa mga user para sa Binance-Pegged ETH bilang bahagi ng isang paunang DEX na handog (IDO). Ibinahagi ng CertiK ang isang larawan ng tila isang WDZD advertisement para sa isang IDO.
Ang BSC address sa ibaba ng advertisement ay 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Ipinapakita ng data ng Blockchain na daan-daang paglilipat ng ETH ang ginawa sa account na ito. Inilipat din ng account ang 460 ETH sa isa pang address, kung saan ginamit ito sa isang function call na "Magdagdag ng Liquidity." Ang tawag na ito ay kadalasang ginagamit upang magdeposito ng asset sa isang liquidity pool kapalit ng mga LP token.
Ipinapakita ng data ng Blockchain na ang nadeposito na 460 ETH ay napunta sa kontrata ng “Swap LP” sa BSC address na 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.
Noong Mayo 19, isang kilalang mapagsamantala na may label na "Fake_Phishing750" ang gumawa ng kontrata na kalaunan ay nag-drain ng mga token mula sa protocol. Ang Fake_Phishing750 ay responsable para sa isang pag-atake sa isa pang protocol na tinatawag na "Swap X," sabi ng CertiK.
Sa sandaling magawa ang nakakahamak na kontrata, ginamit ito ng umaatake upang magsagawa ng siyam na transaksyon na nag-drain ng $1.1 milyon ng ETH mula sa kontrata ng Swap LP kung saan na-deposito ang ETH.
Ang kontrata ng Swap LP ay hindi na-verify ng BSCScan, na nangangahulugan na ang code na nababasa ng tao para dito ay hindi magagamit, na nagpapahirap sa eksaktong pagtukoy kung paano inubos ng umaatake ang mga pondo. Gayunpaman, sinabi ng CertiK na maaaring ilipat ng umaatake ang mga token ng WDZD sa factory address ng protocol sa pamamagitan ng hindi na-verify na function call. Ang WDZD na ito ay ipinagpalit para sa mga token ng LP, na, naman, ay na-redeem para sa pinagbabatayan na ETH.
"Nimanipula ng attacker ang isang mababang antas na tawag sa Swap-LP factory address na nag-trigger sa 0x33604058 function ng SwapLP Pair," sabi ng ulat. “Nagresulta ito sa paglipat ng lahat ng WDZD token sa pares sa address ng pabrika. Dahil dito, nakuha ng attacker ang mas malaking bilang ng mga SWAP LP mula sa hindi na-verify na address na 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, gamit ang mas kaunting WDZD at pagkatapos ay sinusunog ang mga LP para kumita."
Nauugnay: Nagsimula ang proyekto na may $31.6M sa di-umano'y exit scam
Sinubukan ng Cointelegraph na makipag-ugnayan sa WDZD Swap sa pamamagitan ng Telegram channel ng team. Gayunpaman, gumawa ang channel ng mensahe ng error na "hindi pinapayagan ang pagpapadala ng mga mensahe sa pangkat na ito," na nagsasaad na maaaring itinakda ito na payagan lang ang mga post ng admin.
Ang mga hack, scam, at rug pull ay sinalanta ang crypto community noong 2023. Noong Abril 24, ang Ordinals Finance ay di-umano'y nagsagawa ng rug pull, na nag-drain ng mahigit $1 milyon sa mga asset mula sa mga kontrata ng protocol. Noong Mayo 2, isa pang $1 milyon ang nawala nang sinamantala ng isang umaatake ang isang bug sa isang kontrata sa Level Finance.
Iniulat ng CertiK noong Mayo na ang mga pagkalugi mula sa mga pagsasamantala ay bumaba sa unang quarter, ngunit sinabi rin ng kumpanya na ito ay marahil ay isang "pansamantalang pagbawi."
Pinagmulan: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik