Tin tặc rút 1,4 triệu USD từ quỹ token CUT thông qua hợp đồng bí ẩn chưa được xác minh
Một tài khoản đã sử dụng một hàm không thể đọc được để rút 1,4 triệu BSC-USD mà không cần đốt lượng token LP tương đương.
Theo báo cáo từ nền tảng bảo mật blockchain CertiK, một tin tặc đã rút hơn 1,4 triệu USD Binance-Pegged Tether (BSC-USD) từ quỹ thanh khoản nắm giữ token CUT vào ngày 10 tháng 9.
Hợp đồng token CUT dựa vào một hợp đồng riêng biệt chưa được xác minh để thiết lập tham số "lợi nhuận trong tương lai", và hợp đồng riêng biệt này đã được sử dụng để rút BSC-USD thông qua một phương thức không rõ ràng.
Token CUT bị khai thác nằm ở địa chỉ kết thúc bằng 36a7 trên BNB Smart Chain và tách biệt với dự án Crypto Unity, có cùng ký hiệu ticker nhưng địa chỉ khác.
Quỹ bị rút là một phần của sàn giao dịch PancakeSwap. Không có hồ bơi PancakeSwap nào khác được báo cáo là bị ảnh hưởng.
Dữ liệu blockchain cho thấy kẻ tấn công đã thực hiện bốn giao dịch riêng biệt, rút BSC-USD khỏi quỹ và lấy đi 1.448.974 USD.
Kẻ tấn công không thực hiện bất kỳ khoản tiền gửi nào vào quỹ trước đó và không sở hữu bất kỳ token nhà cung cấp thanh khoản nào cho nó, khiến giao dịch khó có khả năng là một khoản rút hợp pháp.
Trong mỗi giao dịch, kẻ tấn công đã gọi một hàm có tên là "0x7a50b2b8". Tuy nhiên, nó không tồn tại trong hợp đồng token.
Theo báo cáo, điều này ngụ ý rằng kẻ tấn công phải đã gọi ILPFutureYieldContract(), cho phép người dùng gọi một hàm riêng biệt trên một hợp đồng hoàn toàn khác có địa chỉ kết thúc bằng 1154. Hợp đồng riêng biệt này chưa được xác minh và BscScan chỉ hiển thị mã byte không thể đọc được cho nó.
Cointelegraph không thể tìm thấy bất kỳ trang web tiếp thị hoặc tài khoản Twitter nào quảng bá CUT, và các nhà đầu tư có thể đã nhầm lẫn nó với dự án Crypto Unity không liên quan.
Các cuộc khai thác là một cách phổ biến để người dùng Web3 mất tiền. Vào ngày 3 tháng 9, hơn 25 triệu USD tiền điện tử đã bị mất trong một cuộc khai thác của giao thức tài chính phi tập trung Penpie. Vào ngày 6 tháng 8, cầu nối cho mạng trò chơi Ronin đã bị rút 10 triệu USD sau khi một tin tặc lợi dụng kịch bản triển khai bị lỗi. Trong trường hợp này, các nhà cung cấp thanh khoản CUT bị thiệt hại tổng cộng 1,4 triệu USD do cuộc khai thác.