根據區塊鏈安全公司 CertiK 19 月 1.1 日的一份報告,去中心化金融 (DeFi) 協議 WDZD Swap 於 21 月 XNUMX 日被利用,價值 XNUMX 萬美元的幣安掛鉤以太幣。 Binance-Pegged Ether 代表已橋接至 BNB 智能鏈 (BSC) 的以太幣 (ETH)。
根據該報告,攻擊者進行了 609 次惡意交易,從與 WDZD 項目相關的合約中耗盡了 1.1 個與幣安掛鉤的 ETH,在攻擊發生時價值 XNUMX 萬美元。
WDZD自稱是一個運行在BSC上的DeFi項目。 它由推特賬號@DZDDAO 推廣,該賬號擁有超過 86,000 名粉絲。 鏈接到該帳戶的 Telegram 頻道也有 28,000 名成員。 Cointelegraph 無法驗證該協議應該如何工作,CertiK 表示它“不是項目所有機制的 100%”。 但是,該應用程序的用戶界面暗示它可用於種植名為“WDZD”的代幣以換取抵押 ETH。
在 24 月 XNUMX 日與 Cointelegraph 的對話中,CertiK 的一位代表報告說,作為初始 DEX 產品 (IDO) 的一部分,WDZD 可能也已出售給用戶以換取 Binance-Pegged ETH。 CertiK 分享了一張看起來像是 IDO 的 WDZD 廣告的圖片。
廣告底部的BSC地址是0xb75ac203c6fcba8d06659cd9c25a343598c6b627。 區塊鏈數據顯示,數百筆 ETH 轉入該賬戶。 該賬戶還將 460 ETH 轉移到另一個地址,然後在“添加流動性”功能調用中使用。 此調用通常用於將資產存入流動資金池以換取 LP 代幣。
區塊鏈數據顯示,存入的 460 ETH 最終進入 BSC 地址 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f 的“Swap LP”合約。
19 月 750 日,一個標記為“Fake_Phishing750”的已知利用者創建了後來從協議中抽取代幣的合約。 CertiK 表示,Fake_PhishingXNUMX 負責攻擊另一個名為“Swap X”的協議。
一旦創建了惡意合約,攻擊者就用它執行了 1.1 筆交易,從存放 ETH 的 Swap LP 合約中耗盡了 XNUMX 萬美元的 ETH。
Swap LP 合約未經 BSCScan 驗證,這意味著它的人類可讀代碼不可用,因此很難確定攻擊者是如何耗盡資金的。 然而,CertiK 聲稱攻擊者可以通過未經驗證的函數調用將 WDZD 代幣轉移到協議的工廠地址。 然後將此 WDZD 換成 LP 代幣,LP 代幣又被贖回為基礎 ETH。
“攻擊者在 Swap-LP 工廠地址中操縱了一個低級調用,觸發了 SwapLP 對的 0x33604058 功能,”報告稱。 “這導致該對中的所有 WDZD 代幣都轉移到了工廠地址。 因此,攻擊者能夠從未經驗證的地址 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743 獲取更多數量的 SWAP LP,使用更少的 WDZD 並隨後銷毀 LP 以獲利。”
相關新聞: 項目以 31.6 萬美元起步,涉嫌退出騙局
Cointelegraph 試圖通過團隊的 Telegram 頻道聯繫 WDZD Swap。 但是,該頻道產生了“不允許在此組中發送消息”的錯誤消息,表明它可能已被設置為僅允許管理員發帖。
2023 年,黑客、詐騙和偷竊一直困擾著加密社區。據稱,24 月 1 日,Ordinals Finance 進行了一次偷竊,從該協議的合同中流失了超過 2 萬美元的資產。 1 月 XNUMX 日,攻擊者利用 Level Finance 合約中的漏洞又損失了 XNUMX 萬美元。
CertiK 在 XNUMX 月份報告稱,第一季度漏洞利用造成的損失有所下降,但該公司還表示,這可能是“暫時的緩刑”。
來源:https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik