Неизвестный скомпрометировал пул ликвидности децентрализованной биржи (DEX) SafeMoon на BNB Chain и вывел активы на сумму около $9 млн.
To our valued community,As you may be aware, on Tuesday 28 March, SafeMoon’s Liquidity Pool was compromised. We have taken swift action to resolve the situation and protect our community. I want to make clear that our DEX is safe. This ultimately affected the SFM:BNB LP pool.…— John Karony (@CptHodl) March 29, 2023
CEO платформы Джон Карони сообщил, что речь идет о ликвидной паре SFM/BNB.
"Мы обнаружили предполагаемый эксплойт, исправили уязвимость и привлекаем консультанта по ончейн-криминалистике для определения точного характера и масштабов инцидента", — отметил он.
Карони заверил, что взлом не затронул другие пулы и кошелек SafeMoon, а средства пользователей находятся в безопасности.
Эксперты PeckShield предположили, что баг, который использовал хакер, появился в результате предыдущего обновления кода функции сжигания. Уязвимость позволила злоумышленнику манипулировать ценой SFM и одной транзакцией вывести из контракта "обернутые" BNB (WBNB) стоимостью почти $9 млн, согласно BscScan.
Hi @safemoon The upgrade, with the exploited public burn bug, was initiated by the official SafeMoon: Deployer. (Admin key leak?) And here comes the upgrade tx. https://t.co/ffAhm9qhgG https://t.co/KYEiYxMRII pic.twitter.com/9CQhseircP— PeckShield Inc. (@peckshield) March 28, 2023
Через несколько часов после инцидента неизвестный отправил на адрес развертывания SafeMoon транзакцию с подписью:
"Эй, расслабьтесь, мы случайно зафронтранили атаку против вас и хотели бы вернуть средства. Давайте установим безопасный канал связи и поговорим".
Данные: BscScan.
Команда биржи вступила в переписку через ончейн-сообщения. Хакер предложил продолжить коммуникацию посредством электронной почты.
Данные: BscScan.
Напомним, 13 марта неизвестный взломал DeFi-протокол Euler Finance и вывел активы стоимостью $196 млн, включая 85 800 ETH.
Однако 25 марта он вернул проекту большую часть украденных средств — свыше 58 700 ETH. Через три дня хакер продолжил возмещение похищенных активов, отправив Euler Finance 23 214 ETH и $10,7 млн в стейблкоине DAI.
