Проєкт SafeMoon зазнав зламу на $9 млн
Хакер скомпрометував пул ліквідності децентралізованої біржі SafeMoon на BNB Chain та вивів криптоактиви майже на $9 млн.
To our valued community,
— John Karony (@CptHodl) March 29, 2023
As you may be aware, on Tuesday 28 March, SafeMoon’s Liquidity Pool was compromised. We have taken swift action to resolve the situation and protect our community. I want to make clear that our DEX is safe. This ultimately affected the SFM:BNB LP pool.…
CEO платформи Джон Кароні повідомив, що йдеться про ліквідну пару SFM/BNB.
«Ми виявили ймовірний експлойт, виправили вразливість і залучаємо консультанта з ончейн-криміналістики для визначення точного характеру та масштабів інциденту», — зазначив він.
Кароні запевнив, що злам не торкнувся інших пулів та гаманців SafeMoon, а кошти користувачів перебувають у безпеці.
Експерти PeckShield припустили, що баг, який використовував хакер, з’явився внаслідок минулого оновлення коду функції спалювання. Вразливість дозволила зловмиснику маніпулювати ціною SFM і однією транзакцією вивести з контракту «обгорнуті» BNB (WBNB) вартістю майже $9 млн, згідно з BscScan.
Hi @safemoon The upgrade, with the exploited public burn bug, was initiated by the official SafeMoon: Deployer. (Admin key leak?) And here comes the upgrade tx. https://t.co/ffAhm9qhgG https://t.co/KYEiYxMRII pic.twitter.com/9CQhseircP
— PeckShield Inc. (@peckshield) March 28, 2023
За декілька годин після інциденту невідомий відправив на адресу розгортання SafeMoon транзакцію з підписом:
«Гей, розслабтеся, ми випадково зафронтранили атаку проти вас і хотіли б повернути гроші. Давайте встановимо безпечний канал зв’язку та поговоримо».
Команда біржі почала листуватися через ончейн-повідомлення. Хакер запропонував продовжити комунікацію за допомогою електронної пошти.
Нагадаємо, 13 березня невідомий хакер зламав DeFi-протокол Euler Finance на $196 млн.
Однак 25 березня він повернув проєкту більшу частину вкрадених коштів — понад 58 700 ETH. Згодом зламник відправив Euler Finance ще 23 214 ETH та $10,7 млн у стейблкоїні DAI.