​Токен биржи SafeMoon обвалился на 26% после эксплойта на 8,9 млн долларов

Что произошло? 28 марта децентрализованная биржа (DEX) SafeMoon на блокчейне BNB Chain потеряла 8,9 млн долларов в результате эксплойта пула ликвидности (LP). По данным компании PeckShield, специализирующейся на кибербезопасности, причиной стала уязвимость в механизме сжигания токенов, при этом сама атака была инициирована с использованием адреса разработчика проекта. В PeckShield допустили, что причиной стала утечка ключа администратора. В результате инцидента цена биржевого токена SafeMoon под тикером SFM за последние сутки обвалилась на 25,7%, актив торгуется по $0,0001847, согласно данным агрегатора CoinGecko.

Источник: Twitter.com

Как была проведена атака? Web 3.0-разработчик под ником DeFi Mark заявил, что злоумышленник использовал функцию сжигания для удаления биржевых токенов SFM из пула ликвидности в паре с обернутыми токенами BNB (WBNB), тем самым искусственно завысив цену SFM. DeFi Mark уточнил, что ошибка позволила хакеру сжигать токены с любого другого адреса. Затем он продал чрезмерно дорогие SFM в тот же пул ликвидности, выведя из него таким образом все оставшиеся WBNB. Разработчик добавил, что это «простейший эксплойт», жертвами которого уже стали многие DeFi-контракты.

Источник: Twitter.com

Глава SafeMoon Джон Карони подтвердил, что инцидент затронул пул токенов SFM/BNB. По его словам, команда обнаружила и устранила уязвимость, а также привлекла сторонних специалистов для оценки характера и масштаба эксплойта. Он заверил сообщество, что другие пулы ликвидности биржи не пострадали, а криптокошелек SafeMoon по-прежнему безопасен для использования.

Источник: Twitter.com

Через несколько часов после эксплойта хакеры заявили, что атака была случайной, и они намерены вернуть средства. «Мы хотели бы настроить безопасный канал связи, давайте поговорим», — такое сообщение они прикрепили к переводу на адрес разработчика SafeMoon, сообщили представители компании по кибербезопасности CertiK. В рамках следующей транзакции хакеры отправили 4000 BNB или более 1,26 млн долларов по курсу на 29 марта 10:30 мск.

Источник: Twitter.com

Примечательно, что днем ранее на связь с разработчиками DeFi-протокола Euler уже во второй раз вышел хакер, который вывел из проекта 200 млн долларов. Он извинился за инцидент и вернул около половины украденных средств в криптовалютах.