Проект GameFi Super Sushi Samurai (SSS), побудований на блокчейні Coinbase Base layer-2 і додатку для обміну повідомленнями Telegram, 21 березня вилучив 4,8 мільйона доларів зі своїх пулів ліквідності самопроголошеним білим капелюхом після виявлення збою подвійних витрат..
У заяві для Cointelegraph аналітична фірма блокчейну CertiK зазначила, що «вразливість знаходиться у функції [SSS] contracts _update(), яка неправильно оновлює баланси під час переказу на себе». Таким чином, коли користувач передає весь свій балансТокени SSS собі, отриманий баланс подвоюється.
The @SSS_HQ $SSS LP was just drained on blast because their token contract has a bug where transferring your entire balance to yourself doubles it.
The order of operations decrements the balance for "from" and then sets the balance for "to" – if these are the same address, the… pic.twitter.com/RStMcFH3sy
— Coffee ☕️ (@coffeexcoin) March 21, 2024
CertiK зазначив, що під час інциденту один користувач, який керував адресою 0x786C8f95C17BB990a040dc4D6539B01FC1b72842, спочатку придбав 690 мільйонів токенів SSS, перевів весь баланс собі, подвоїв його в 25 разів і, нарешті, закінчив «з 11,5 трильйонами токенів SSS, які потім були продані за1310 ETH (~4 590 827 доларів США).”
Незабаром після інциденту користувач, який двічі витратив токени, заявив у повідомленні блокчейну:
«Вітаю, командо, це рятувальний хак для білої шапки. Давайте попрацюємо над відшкодуванням користувачам. Будь ласка, зв’яжіться через чат Blockscan із програми розгортання SSS 0x555b28f3b8b3b8ebd1b06997c2078fd94529f555 у головній мережі Ethereum».
Однак, незважаючи на їхню добру волю, варто зазначити, що самопроголошений білий капелюх призвів до краху токена SSS після виведення 4,8 мільйона доларів США. До краху загальна ринкова капіталізація SSS становила 27,75 мільйона доларів. Відтоді токени втратили понад 99% своєї вартості. Того ж дня розробники SSS відповіли:
«Привіт, білий капелюшок; ми звернулися до вас на Blockscan. Дякуємо за співпрацю з нами. Команда SSS».
Буквально місяць тому новий майнер токенів ERC-X вийшов з ладу на 99% після того, як користувач виявив помилку подвійного витрачання, яка призвела до нескінченного карбування токенів. «Шкода, що в контракті є невеликі лазівки. Ви можете подвоїти свій баланс, перерахувавши гроші собі», — сказав Ю Сянь, співзасновник сінгапурської фірми безпеки блокчейнів SlowMist, щодо інциденту. Збій призвів до збитків користувачів на понад 10 мільйонів доларів.
За темою: зловмисник KyberSwap використав «збій нескінченних грошей», щоб викачати кошти — експерт DeFi
