Gracz X osiągnął wynik $717K, podobnie jak PGNLZ

Fala ataków w świecie kryptowalut trwa, a tym razem ofiarą padł projekt X Player. Według raportu CertiK Alert, system monitorujący wykrył lukę w mechanizmie spalania tokenów w ramach kontraktu, którą atakujący wykorzystał do kradzieży około 717 000 dolarów. Atak miał miejsce na blockchainie BNB Chain, a sprawca uzyskał dostęp do funduszy poprzez manipulację pulami płynności.

Szczegóły incydentu ujawniają, że atakujący wykorzystał funkcję DynamicBurnPool, do której dostęp był ograniczony (właściciel, staking, adresy współdzielonych węzłów i marketing). Jednak z powodu błędu implementacji atak umożliwił aktualizację pary tokenów i jej synchronizację, co doprowadziło do drenażu funduszy. W podanym kodzie widoczny jest warunek „require” z kontrolą msg.sender, ale jak zauważają analitycy, stworzyło to wiele punktów awarii, umożliwiając drenaż całej puli LP. Transakcja ataku jest rejestrowana w CertiK Skylens:

Ten exploit wykazuje uderzające podobieństwo do niedawnego ataku hakerskiego PGNLZ na łańcuch BNB, gdzie atakujący wykorzystał lukę w zabezpieczeniach „burn pair”, wykonując podwójne transakcje odwrotne i kradnąc około 100 000 dolarów. W przypadku PGNLZ atakujący najpierw wyzerował tokeny, a następnie manipulował ceną PGNLP, pobierając USDT z puli płynności. Analitycy CertiK zauważają, że atakujący X Player wykazuje podobieństwo do eksploratora PGNLZ, co może wskazywać na tego samego hakera lub podobną metodologię.

Dodatkowe analizy społeczności, takie jak przeprowadzone przez Wesleya Wanga i n0b0dy'ego, wskazują na wykorzystanie pożyczek błyskawicznych do manipulacji ceną w ramach pojedynczej transakcji, co prowadzi do większych strat, sięgających według niektórych szacunków nawet 964 600 USDT. Krytycy podkreślają problemy z kontrolą dostępu: cztery potencjalne punkty awarii w funkcji, które mogą opróżnić pulę, to „dziki” błąd. Podkreśla to potrzebę dokładnych audytów inteligentnych kontraktów, szczególnie w projektach DeFi.

W szerszym kontekście rynkowym, takie incydenty przypominają nam o zagrożeniach w ekosystemie BNB Chain, gdzie podobne luki w zabezpieczeniach typu „burn pair” zostały już wykorzystane. CertiK radzi deweloperom korzystać z zewnętrznych wyroczni i wzmocnić mechanizmy kontroli, aby uniknąć podobnych ataków w przyszłości. Dla inwestorów: zawsze weryfikujcie kontrakty i unikajcie podejrzanych transakcji.