Хакер использует непроверенный trac , чтобы вывести $1,4 млн из пулов токенов CUT

По данным CertiK, учетная запись злоумышленника использовала нечитаемую функцию для перевода BSC-USD на сумму 1,4 миллиона долларов без сжигания эквивалентных токенов LP. Платформа анализа блокчейна и безопасности показала, что 10 сентября BSC-USD был выведен из пула ликвидности, содержащего токены CUT.

CertiK заявила, что trac токена CUT основывался на отдельном непроверенном trac для установки «параметра будущей доходности», что позволяло trac BSC-USD загадочными методами в четырех отдельных транзакциях. По данным CertiK, использованный токен CUT отличался от проекта Crypto Unit тем же тикером, но располагался по другому адресу, оканчивающемуся на «36a7» в Binance Smart Chain. Согласно выводам CertiK, затронутой парой была «0x83681F67069A154815a0c6C2C97e2dAca6eD3249».  

Эксплойт с токенами CUT привел к убыткам на сумму более 1,4 миллиона долларов

#CertiKInsight 🚨

Мы видели эксплойт флеш-займа с использованием токена CUT.

КБС: 0x7057F3b0F4D0649B428F0D8378A8a0E7D21d36a7

Контракт CUT использует trac t ILPFutureYieldCon trac _lpFutureYieldCon trac trac который не проверен и содержит… pic.twitter.com/ycE4Px3Nxy

– Оповещение CertiK (@CertiKAlert) 10 сентября 2024 г.

Компания CertiK обнаружила эксплойт флэш-займа trac trac (_lpFutureYieldCon trac tAddress) по адресу 0x0917914b0A70ee7F1f2460Fcd487696856E31154», который не был проверен и содержал скрытую функциональность. Платформа криптобезопасности подтвердила, что злоумышленник манипулировал CUT с помощью FutureYield, чтобы получить почти 1,4 миллиона долларов от cake BUSD-CUT. CertiK подтвердила, что средства в настоящее время хранятся по адресу «0x5766d1F03378f50c7c981c014Ed5e5A8124f38A4».

Сертик сообщил, что опустошенный пул был частью своп-пула Pan cake , но никакие другие своп-пулы Pan cake пострадали. Данные блокчейна показали , что злоумышленник выполнил четыре отдельные транзакции, чтобы удалить 1 448 974 доллара США из пула BSC-USD. В CertiK заявили, что были предупреждены о незаконной транзакции, поскольку злоумышленник не вносил никаких депозитов в пул и не владел какими-либо токенами поставщика ликвидности.

Согласно отчету CertiK, злоумышленник вызвал функцию «0x7a50b2b8», которой не было в trac токена. В отчете говорится, что злоумышленник, должно быть, вызвал «ILPFutureYieldCon trac t()», что позволило вызвать другую функцию для совершенно отдельного непроверенного trac с адресом, заканчивающимся на «1154», показывая только нечитаемый байт-код. В этом случае поставщики ликвидности CUT в совокупности потеряли 1,4 миллиона долларов из-за эксплойта.

В 2024 году количество крипто-эксплойтов вырастет: августовские потери составят более 310 миллионов долларов

Данные CertiK показали , что в результате комбинации взломов, мошенничества и эксплойтов в августе 2024 года было потеряно более 310 миллионов долларов США. Данные подтвердили, что это второй по величине ежемесячный убыток в 2024 году. Согласно данным, при выходе было потеряно около 0,8 миллиона долларов США. мошенничества, ~ 1,2 миллиона долларов на флэш-кредиты и 308,8 миллиона долларов на эксплойты, в то время как было возвращено только 10,3 миллиона долларов.

По данным CertiK, жертвы фишинга потеряли в общей сложности 293 миллиона долларов. Примечательно, что самые крупные атаки с использованием флэш-кредитов в августе привели к потерям для Vow (1,2 миллиона долларов США), MintStakeShare (33,5 тысяч долларов США) и Satoshi (5 тысяч долларов США), в то время как самые популярные мошеннические действия с выходом привели к потерям для токенов Grimace (649 тысяч долларов США), Sigma (136 тысяч долларов США). ) и токен Мбаппе (88 тысяч долларов). Наибольшее количество эксплойтов в августе пришлось на Ronin Network (11,8 млн долларов), Nexera (448,8 тыс. долларов), Convergence (210 тыс. долларов), iVest DAO (172 тыс. долларов) и AAVE Periphery Ctr (64 тыс. долларов).

Immunefi сообщила, что в 2024 году крипто-хакеры потеряли более 1,2 миллиарда долларов, что на 15,5% больше, чем за тот же период в 2023 году.