โปรโตคอลการเงินแบบกระจายอำนาจ (DeFi) WDZD Swap ถูกใช้ประโยชน์ในวันที่ 19 พฤษภาคมด้วยมูลค่า 1.1 ล้านดอลลาร์ของ Binance-Pegged Ether ตามรายงานวันที่ 21 พฤษภาคมจากบริษัทรักษาความปลอดภัยบล็อกเชน CertiK Binance-Pegged Ether เป็นตัวแทนของ Ether (ETH) ที่เชื่อมโยงกับ BNB Smart Chain (BSC)
ตามรายงาน ผู้โจมตีทำธุรกรรมที่เป็นอันตรายเก้ารายการซึ่งระบาย ETH 609 Binance-Pegged ETH มูลค่า 1.1 ล้านดอลลาร์ ณ เวลาที่โจมตี จากสัญญาที่เกี่ยวข้องกับโครงการ WDZD
WDZD อ้างว่าเป็นโครงการ DeFi ที่ทำงานบน BSC มันถูกโปรโมตโดยบัญชี Twitter @DZDDAO ซึ่งมีผู้ติดตามมากกว่า 86,000 คน ช่องโทรเลขที่เชื่อมโยงกับบัญชีนี้มีสมาชิก 28,000 คน Cointelegraph ไม่สามารถตรวจสอบได้ว่าโปรโตคอลควรทำงานอย่างไร และ CertiK ระบุว่า "ไม่ 100% สำหรับกลไกทั้งหมดของโครงการ" อย่างไรก็ตาม อินเทอร์เฟซผู้ใช้สำหรับแอปบอกเป็นนัยว่าสามารถใช้ฟาร์มโทเค็นที่เรียกว่า “WDZD” เพื่อแลกเปลี่ยนกับ ETH
ในการสนทนากับ Cointelegraph เมื่อวันที่ 24 พฤษภาคม ตัวแทนจาก CertiK รายงานว่า WDZD อาจถูกขายให้กับผู้ใช้สำหรับ Binance-Pegged ETH ซึ่งเป็นส่วนหนึ่งของข้อเสนอ DEX เริ่มต้น (IDO) CertiK แชร์รูปภาพของสิ่งที่ดูเหมือนจะเป็นโฆษณา WDZD สำหรับ IDO
ที่อยู่ BSC ที่ด้านล่างของโฆษณาคือ 0xb75ac203c6fcba8d06659cd9c25a343598c6b627 ข้อมูลบล็อกเชนแสดงให้เห็นว่ามีการโอน ETH หลายร้อยครั้งไปยังบัญชีนี้ บัญชียังโอน 460 ETH ไปยังที่อยู่อื่น ซึ่งจากนั้นจะใช้ในการเรียกใช้ฟังก์ชัน "เพิ่มสภาพคล่อง" การเรียกนี้มักใช้เพื่อฝากสินทรัพย์ไปยังกลุ่มสภาพคล่องเพื่อแลกกับโทเค็น LP
ข้อมูลบล็อกเชนแสดงให้เห็นว่าจำนวน 460 ETH ที่ฝากไว้สิ้นสุดลงในสัญญา “Swap LP” ที่ที่อยู่ BSC 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f
เมื่อวันที่ 19 พฤษภาคม ผู้แสวงประโยชน์ที่รู้จักกันในนาม “Fake_Phishing750” ได้สร้างสัญญาที่ระบายโทเค็นออกจากโปรโตคอลในภายหลัง Fake_Phishing750 รับผิดชอบการโจมตีโปรโตคอลอื่นที่เรียกว่า “Swap X” CertiK ระบุ
เมื่อสร้างสัญญาที่เป็นอันตรายแล้ว ผู้โจมตีจะใช้มันเพื่อทำธุรกรรม 1.1 รายการที่ระบาย ETH มูลค่า XNUMX ล้านดอลลาร์จากสัญญา Swap LP ซึ่ง ETH ถูกฝากไว้
สัญญา Swap LP ไม่ได้รับการยืนยันโดย BSCScan ซึ่งหมายความว่ารหัสที่มนุษย์อ่านได้นั้นไม่พร้อมใช้งาน ทำให้ยากต่อการระบุว่าผู้โจมตีใช้เงินทุนจนหมดไปอย่างไร อย่างไรก็ตาม CertiK อ้างว่าผู้โจมตีสามารถโอนโทเค็น WDZD ไปยังที่อยู่โรงงานของโปรโตคอลผ่านการเรียกฟังก์ชันที่ไม่ได้รับการยืนยัน จากนั้น WDZD นี้จะถูกแลกเปลี่ยนเป็นโทเค็น LP ซึ่งจะแลกเป็น ETH อ้างอิง
“ผู้โจมตีจัดการกับการโทรระดับต่ำในที่อยู่โรงงาน Swap-LP ซึ่งเรียกใช้ฟังก์ชัน 0x33604058 ของ SwapLP Pair” รายงานระบุ “ส่งผลให้มีการโอนโทเค็น WDZD ทั้งหมดในคู่ไปยังที่อยู่โรงงาน ดังนั้น ผู้โจมตีจึงสามารถรับ SWAP LPs จำนวนมากขึ้นจากที่อยู่ที่ไม่ได้รับการยืนยัน 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743 โดยใช้ WDZD น้อยลง และเผา LPs เพื่อหากำไรในภายหลัง”
ที่เกี่ยวข้อง โครงการปิดด้วยเงิน 31.6 ล้านดอลลาร์ในการหลอกลวงทางออกที่ถูกกล่าวหา
Cointelegraph พยายามติดต่อ WDZD Swap ผ่านช่องทาง Telegram ของทีม อย่างไรก็ตาม ช่องสร้างข้อความแสดงข้อผิดพลาด "ไม่อนุญาตให้ส่งข้อความในกลุ่มนี้" ซึ่งระบุว่าอาจมีการตั้งค่าให้อนุญาตเฉพาะโพสต์ของผู้ดูแลระบบเท่านั้น
การแฮ็ก การหลอกลวง และการดึงพรมได้รบกวนชุมชน crypto ในปี 2023 เมื่อวันที่ 24 เมษายน Ordinals Finance ถูกกล่าวหาว่าทำการดึงพรมโดยระบายทรัพย์สินกว่า 1 ล้านดอลลาร์จากสัญญาของโปรโตคอล ในวันที่ 2 พฤษภาคม สูญเสียเงินอีก 1 ล้านดอลลาร์เมื่อผู้โจมตีใช้ประโยชน์จากจุดบกพร่องในสัญญา Level Finance
CertiK รายงานในเดือนพฤษภาคมว่าการสูญเสียจากการแสวงหาผลประโยชน์ลดลงในไตรมาสแรก แต่บริษัทยังระบุด้วยว่านี่อาจเป็น "การบรรเทาโทษชั่วคราว"
ที่มา: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik