根据区块链安全公司 CertiK 19 月 1.1 日的一份报告,去中心化金融 (DeFi) 协议 WDZD Swap 于 21 月 XNUMX 日被利用,价值 XNUMX 万美元的 Binance-Pegged Ether。 Binance-Pegged Ether 代表已桥接至 BNB 智能链 (BSC) 的以太币 (ETH)。
根据该报告,攻击者进行了 609 次恶意交易,从与 WDZD 项目相关的合约中耗尽了 1.1 个与币安挂钩的 ETH,在攻击发生时价值 XNUMX 万美元。
WDZD自称是一个运行在BSC上的DeFi项目。 它由推特账号@DZDDAO 推广,该账号拥有超过 86,000 名粉丝。 链接到该帐户的 Telegram 频道也有 28,000 名成员。 Cointelegraph 无法验证该协议应该如何工作,CertiK 表示它“不是项目所有机制的 100%”。 但是,该应用程序的用户界面暗示它可用于种植名为“WDZD”的代币以换取抵押 ETH。
在 24 月 XNUMX 日与 Cointelegraph 的对话中,CertiK 的一位代表报告说,作为初始 DEX 产品 (IDO) 的一部分,WDZD 可能也已出售给用户以换取与币安挂钩的 ETH。 CertiK 分享了一张看起来像是 IDO 的 WDZD 广告的图片。
广告底部的BSC地址是0xb75ac203c6fcba8d06659cd9c25a343598c6b627。 区块链数据显示,数百笔 ETH 转入该账户。 该账户还将 460 ETH 转移到另一个地址,然后在“添加流动性”功能调用中使用。 此调用通常用于将资产存入流动资金池以换取 LP 代币。
区块链数据显示,存入的 460 ETH 最终进入 BSC 地址 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f 的“Swap LP”合约。
19 月 750 日,一个标记为“Fake_Phishing750”的已知利用者创建了后来从协议中抽取代币的合约。 CertiK 表示,Fake_PhishingXNUMX 负责攻击另一个名为“Swap X”的协议。
一旦创建了恶意合约,攻击者就用它执行了 1.1 笔交易,从存放 ETH 的 Swap LP 合约中耗尽了 XNUMX 万美元的 ETH。
Swap LP 合约未经 BSCScan 验证,这意味着它的人类可读代码不可用,因此很难确定攻击者是如何耗尽资金的。 然而,CertiK 声称攻击者可以通过未经验证的函数调用将 WDZD 代币转移到协议的工厂地址。 然后将此 WDZD 换成 LP 代币,LP 代币又被赎回为基础 ETH。
“攻击者在 Swap-LP 工厂地址中操纵了一个低级调用,触发了 SwapLP 对的 0x33604058 功能,”报告称。 “这导致该对中的所有 WDZD 代币都转移到了工厂地址。 因此,攻击者能够从未经验证的地址 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743 获取更多数量的 SWAP LP,使用更少的 WDZD 并随后销毁 LP 以获利。”
相关新闻: 项目以 31.6 万美元起步,涉嫌退出骗局
Cointelegraph 试图通过团队的 Telegram 频道联系 WDZD Swap。 但是,该频道产生了“不允许在此组中发送消息”的错误消息,表明它可能已被设置为仅允许管理员发帖。
2023 年,黑客、诈骗和偷窃一直困扰着加密社区。据称,24 月 1 日,Ordinals Finance 进行了一次偷窃,从该协议的合同中流失了超过 2 万美元的资产。 1 月 XNUMX 日,攻击者利用 Level Finance 合约中的漏洞又损失了 XNUMX 万美元。
CertiK 在 XNUMX 月份报告称,第一季度漏洞利用造成的损失有所下降,但该公司还表示,这可能是“暂时的缓刑”。
来源:https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik