Проект GameFi Super Sushi Samurai (SSS), построенный на базе блокчейна второго уровня Coinbase и приложения для обмена сообщениями Telegram, 21 марта увидел вывод 4,8 миллиона долларов из своих пулов ликвидности самопровозглашенной белой шляпой после обнаружения сбоя двойного расходования..
В заявлении для Cointelegraph аналитическая компания по блокчейну CertiK отметила, что «уязвимость находится в функции _update() контрактов [SSS], которая неправильно обновляет балансы при передаче себе». Токены SSS себе, итоговый баланс удваивается.
The @SSS_HQ $SSS LP was just drained on blast because their token contract has a bug where transferring your entire balance to yourself doubles it.
The order of operations decrements the balance for "from" and then sets the balance for "to" – if these are the same address, the… pic.twitter.com/RStMcFH3sy
— Coffee ☕️ (@coffeexcoin) March 21, 2024
CertiK отметила, что во время инцидента один пользователь, работающий по адресу 0x786C8f95C17BB990a040dc4D6539B01FC1b72842, первоначально приобрел 690 миллионов токенов SSS, перевел весь баланс себе, удвоил его в 25 раз и, наконец, закончил «11,5 триллионами токенов SSS, которые затем были проданы за1310 ETH (~4 590 827 долларов США)».
Вскоре после инцидента пользователь, дважды потративший токены, заявил в сообщении блокчейна:
«Привет, команда, это спасательный хак. Давайте поработаем над возмещением расходов пользователям. Свяжитесь с нами через чат Blockscan из развертывателя SSS 0x555b28f3b8b3b8ebd1b06997c2078fd94529f555 в основной сети Ethereum».
Однако, несмотря на их добрую волю, стоит отметить, что самопровозглашенная белая шляпа привела к краху токена SSS после вывода средств на сумму 4,8 миллиона долларов. До краха общая рыночная капитализация SSS составляла 27,75 миллиона долларов. С тех пор токены потеряли более 99% своей стоимости. В тот же день разработчики SSS ответили:
«Здравствуйте, белая шляпа! Мы связались с вами через Blockscan. Спасибо за сотрудничество с нами. Команда SSS».
Всего за месяц до этого новый майнер токенов ERC-X вышел из строя на 99% после того, как пользователь обнаружил сбой двойного расходования, который привел к бесконечной чеканке токенов. «Жаль, что в контракте есть лазейки низкого уровня. Вы можете удвоить свой баланс, переведя деньги себе», — сказал Ю Сянь, соучредитель сингапурской компании по безопасности блокчейн SlowMist, по поводу инцидента. Сбой привел к потерям пользователей на сумму более 10 миллионов долларов.
Связанный: Злоумышленник KyberSwap использовал «глюк с бесконечными деньгами» для вывода средств — эксперт DeFi