Новости Маленькая ошибка в коде DeFi-платформы SafeMoon позволила злоумышленникам «выкачать» криптовалюту почти на 9 миллионов долларов

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.940
Реакции
277.302
RUB
0
Интересные обстоятельства атаки сбивают с толку даже экспертов.

image



токенов потерял 8,9 миллиона долларов после того, как неизвестный хакер воспользовался недавно добавленной функцией смарт-контрактов «burn» , которая искусственно завысила цену криптовалюты SFM, позволив участникам продавать её гораздо более выгодно.

Пулы ликвидности на платформах — это крупные депозиты криптовалюты, которые облегчают торговлю, обеспечивают рыночную ликвидность и, как правило, позволяют биржам функционировать без заимствований валюты у третьих лиц.

Вчера SafeMoon инцидент в своём и заявила, что в настоящее время работает над решением проблемы.


Сообщение SafeMoon в Twitter

Генеральный директор SafeMoon Джон Карони заявил, что атака произошла во вторник, 28 марта, и затронула SFM:BNB, но не биржу платформы целиком. «Мы обнаружили предполагаемый эксплойт, исправили уязвимость и привлекли консультанта по судебной экспертизе сети, чтобы определить точную природу и масштаб эксплойта. Пользователи должны быть уверены, что их токены остаются в безопасности. Я хочу заверить вас, что другие пулы DEX не пострадали», — говорится в директора SafeMoon.

Эксперты по безопасности блокчейна поделились более подробной информацией об уязвимости, которую использовал хакер для ограбления SafeMoon. Согласно данным PeckShield, недавнее обновление на платформе SafeMoon представило новую функцию смарт-контрактов под названием «burn», которая позволяет «сжигать» токены. Само по себе — вполне нормальный и правомерный процесс на криптоплошадках. Но в случае с SafeMoon функция была ошибочно установлена как общедоступная, действующая без ограничений, что позволяло любому пользователю платформы воспользоваться ей.

Директор SafeMoon ранее заявлял, что «сжигание» будет использоваться только в экстренных случаях. Например, когда пул ликвидности столкнётся с рисками из-за вредоносных смарт-контрактов, чрезмерного проскальзывания и прочих моментов. Но так как ей воспользовался злоумышленник, он решил в своих интересах сжечь сразу больше количество токенов SafeMoon, в результате чего цена токена резка выросла.



Значение «public» в функции «burn»

Как только цена выросла, криптовалюта SafeMoon была продана с другого адреса по манипулируемой цене, что позволило выкачать почти 9 миллионов долларов из пула ликвидности SafeMoon:WBNB.

Довольно забавно то, что через несколько часов после атаки человек, сконвертировавший SafeMoon в , заявил, что он сделал это не со злым умыслом, а «случайно зашел на опережение» после того, как цена была искусственно завышена из-за использования функции «burn». Якобы, токены сжёг кто-то другой, а этот человек просто успел выгодно провести сделку.

«Эй, расслабьтесь, мы случайно предприняли атаку против вас и хотели бы вернуть средства. Давайте настроим безопасный канал связи и поговорим», — говорится в комментарии, добавленном к транзакции.
На момент написания новости «похититель» криптовалюты перевел около 4000 монет Binance (BNB) на сумму 1,2 миллиона долларов на другой адрес, что скорректировало курс SMF в лучшую сторону. Если данная атака и правда была случайностью или простым «пранком», в скором времени вся «выкачанная» из пула ликвидности SafeMoon валюта будет возвращена обратно, и об инциденте можно будет забыть.

Тем не менее, SafeMoon точно сделала важный вывод из этой ситуации и тщательно проверила, нет ли в коде платформы других ошибок, позволяющих простым участникам криптообмена получить доступ, который им не положен в принципе. Вероятно, такие же проверки в скором времени проведут и владельцы других DeFi-платформ, чтобы не наступить на те же грабли.







 
Сверху Снизу