Protokol za decentralizirano financiranje (DeFi) WDZD Swap iskorišten je 19. svibnja za 1.1 milijun dolara vrijedan Binance-Pegged Ether, prema izvješću od 21. svibnja sigurnosne tvrtke za blockchain CertiK. Binance-Pegged Ether predstavlja Ether (ETH) koji je premošten na BNB Smart Chain (BSC).
Prema izvješću, napadač je izveo devet zlonamjernih transakcija koje su iscrpile 609 Binance-Pegged ETH, u vrijednosti od 1.1 milijun dolara u vrijeme napada, iz ugovora povezanog s projektom WDZD.
WDZD tvrdi da je DeFi projekt koji radi na BSC-u. Promiče ga Twitter račun @DZDDAO koji ima preko 86,000 pratitelja. Telegram kanal povezan s ovim računom također ima 28,000 članova. Cointelegraph nije mogao provjeriti kako bi protokol trebao funkcionirati, a CertiK je izjavio da "nije 100% na svim mehanikama projekta." Međutim, korisničko sučelje za aplikaciju implicira da se može koristiti za uzgoj tokena pod nazivom "WDZD" u zamjenu za ulaganje ETH.
U razgovoru s Cointelegraphom 24. svibnja, predstavnik CertiK-a izvijestio je da je WDZD možda također prodan korisnicima za Binance-Pegged ETH kao dio početne DEX ponude (IDO). CertiK je podijelio sliku onoga što izgleda kao WDZD reklama za IDO.
BSC adresa na dnu oglasa je 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Podaci o blockchainu pokazuju da su stotine prijenosa ETH-a izvršene na ovaj račun. Račun je također prenio 460 ETH na drugu adresu, gdje je zatim korišteno u pozivu funkcije "Dodavanje likvidnosti". Ovaj se poziv često koristi za polaganje imovine u fond likvidnosti u zamjenu za LP tokene.
Blockchain podaci pokazuju da je položenih 460 ETH završilo u ugovoru “Swap LP” na BSC adresi 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.
19. svibnja poznati eksploatator pod oznakom "Fake_Phishing750" stvorio je ugovor koji je kasnije ispraznio tokene iz protokola. Fake_Phishing750 je odgovoran za napad na drugi protokol pod nazivom "Swap X", izjavio je CertiK.
Nakon što je stvoren zlonamjerni ugovor, napadač ga je upotrijebio za izvođenje devet transakcija koje su iscrpile 1.1 milijun dolara ETH iz Swap LP ugovora gdje je ETH bio deponiran.
Swap LP ugovor nije verificiran od strane BSCScan-a, što znači da čovjeku čitljiv kod za njega nije dostupan, što otežava točno određivanje kako je napadač iscrpio sredstva. Međutim, CertiK je tvrdio da je napadač mogao prenijeti WDZD tokene na tvorničku adresu protokola putem neprovjerenog poziva funkcije. Ovaj WDZD je zatim zamijenjen za LP tokene, koji su zauzvrat otkupljeni za temeljni ETH.
"Napadač je manipulirao pozivom niske razine u tvorničkoj adresi Swap-LP koji je pokrenuo funkciju 0x33604058 SwapLP para", navodi se u izvješću. “To je rezultiralo prijenosom svih WDZD tokena u paru na adresu tvornice. Posljedično, napadač je uspio nabaviti veći broj SWAP LP-ova s neprovjerene adrese 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, koristeći manje WDZD-a i naknadno spaljivanjem LP-ova radi zarade.”
Povezano: Projekt uzmiče s 31.6 milijuna dolara u navodnoj prijevari pri izlasku
Cointelegraph je pokušao kontaktirati WDZD Swap putem Telegram kanala tima. Međutim, kanal je proizveo poruku o pogrešci "slanje poruka nije dopušteno u ovoj grupi", što ukazuje da je možda postavljen da dopušta samo objave administratora.
Hakiranja, prijevare i krađe haraju kriptozajednicom 2023. Dana 24. travnja, Ordinals Finance je navodno izvršila krađu, iscrpljujući više od milijun dolara imovine iz ugovora protokola. 1. svibnja izgubljen je još milijun dolara kada je napadač iskoristio grešku u ugovoru Level Finance.
CertiK je u svibnju izvijestio da su se gubici od exploita smanjili u prvom tromjesečju, ali je tvrtka također izjavila da je to vjerojatno "privremena odgoda".
Izvor: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik