Protokolli i decentralizuar i financave (DeFi) WDZD Swap u shfrytëzua më 19 maj për 1.1 milion dollarë Binance-Pegged Ether, sipas një raporti të 21 majit nga firma e sigurisë së blockchain CertiK. Binance-Pegged Ether përfaqëson Eterin (ETH) që është lidhur me Zinxhirin e zgjuar BNB (BSC).
Sipas raportit, një sulmues kreu nëntë transaksione me qëllim të keq që mbaruan 609 Binance-Pegged ETH, me vlerë 1.1 milion dollarë në kohën e sulmit, nga një kontratë e lidhur me projektin WDZD.
WDZD pretendon të jetë një projekt DeFi që funksionon në BSC. Promovohet nga llogaria në Twitter @DZDDAO, e cila ka mbi 86,000 ndjekës. Kanali Telegram i lidhur me këtë llogari ka gjithashtu 28,000 anëtarë. Cointelegraph nuk mundi të verifikonte se si duhej të funksiononte protokolli dhe CertiK deklaroi se "nuk është 100% në të gjithë mekanikën e projektit". Sidoqoftë, ndërfaqja e përdoruesit për aplikacionin nënkupton që mund të përdoret për të krijuar një shenjë të quajtur "WDZD" në këmbim të vendosjes së ETH.
Në një bisedë të 24 majit me Cointelegraph, një përfaqësues nga CertiK raportoi se WDZD mund t'u jetë shitur gjithashtu përdoruesve për ETH të lidhur me Binance si pjesë e një oferte fillestare DEX (IDO). CertiK ndau një imazh të asaj që duket të jetë një reklamë e WDZD për një IDO.
Adresa BSC në fund të reklamës është 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Të dhënat e Blockchain tregojnë se qindra transferime të ETH janë bërë në këtë llogari. Llogaria transferoi gjithashtu 460 ETH në një adresë tjetër, ku më pas u përdor në një thirrje funksioni "Shto likuiditet". Kjo thirrje shpesh përdoret për të depozituar një aktiv në një grup likuiditeti në këmbim të argumenteve LP.
Të dhënat e Blockchain tregojnë se 460 ETH e depozituar përfundoi në kontratën "Swap LP" në adresën BSC 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.
Më 19 maj, një shfrytëzues i njohur i etiketuar "Fake_Phishing750" krijoi kontratën që më vonë mbaroi argumentet nga protokolli. Fake_Phishing750 ishte përgjegjës për një sulm ndaj një protokolli tjetër të quajtur “Swap X”, deklaroi CertiK.
Pasi u krijua kontrata me qëllim të keq, sulmuesi e përdori atë për të kryer nëntë transaksione që shpenzuan 1.1 milion dollarë ETH nga kontrata Swap LP ku ishte depozituar ETH.
Kontrata Swap LP është e paverifikuar nga BSCScan, që do të thotë se kodi i lexueshëm nga njeriu për të nuk është i disponueshëm, duke e bërë të vështirë përcaktimin e saktë se si sulmuesi i ka kulluar fondet. Sidoqoftë, CertiK pretendoi se sulmuesi mund të transferonte shenjat WDZD në adresën e fabrikës së protokollit përmes një thirrjeje funksioni të paverifikuar. Kjo WDZD u këmbye më pas me shenja LP, të cilat, nga ana tjetër, u shpenguan për ETH bazë.
“Sulmuesi manipuloi një thirrje të nivelit të ulët në adresën e fabrikës Swap-LP, e cila aktivizoi funksionin 0x33604058 të Çiftit SwapLP”, thuhej në raport. “Kjo rezultoi në transferimin e të gjitha shenjave WDZD në çift në adresën e fabrikës. Rrjedhimisht, sulmuesi ishte në gjendje të merrte një numër më të madh të SWAP LP-ve nga adresa e paverifikuar 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, duke përdorur më pak WDZD dhe më pas duke djegur LP-të për përfitim.”
Related: Projekti nis me 31.6 milionë dollarë në mashtrimin e pretenduar të daljes
Cointelegraph u përpoq të kontaktonte WDZD Swap përmes kanalit Telegram të ekipit. Megjithatë, kanali prodhoi një mesazh gabimi "dërgimi i mesazheve nuk lejohet në këtë grup", duke treguar se mund të jetë caktuar që të lejojë vetëm postimet e administratorit.
Hakimet, mashtrimet dhe tërheqjet e qilimave kanë pllakosur komunitetin e kriptove në vitin 2023. Më 24 prill, Ordinals Finance dyshohet se kreu një tërheqje tapeti, duke shpenzuar mbi 1 milion dollarë aktive nga kontratat e protokollit. Më 2 maj, 1 milion dollarë të tjerë humbën kur një sulmues shfrytëzoi një defekt në një kontratë të Level Finance.
CertiK raportoi në maj se humbjet nga shfrytëzimet ranë në tremujorin e parë, por kompania gjithashtu deklaroi se kjo ishte ndoshta një "prerje e përkohshme".
Burimi: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik