Defnyddiwyd protocol cyllid datganoledig (DeFi) WDZD Swap ar Fai 19 am werth $1.1 miliwn o Binance-Pegged Ether, yn ôl adroddiad Mai 21 gan gwmni diogelwch blockchain CertiK. Mae Binance-Pegged Ether yn cynrychioli Ether (ETH) sydd wedi'i bontio i BNB Smart Chain (BSC).
Yn ôl yr adroddiad, cynhaliodd ymosodwr naw trafodiad maleisus a ddraeniodd 609 Binance-Pegged ETH, gwerth $ 1.1 miliwn ar adeg yr ymosodiad, o gontract sy'n gysylltiedig â phrosiect WDZD.
Mae WDZD yn honni ei fod yn brosiect DeFi sy'n rhedeg ar BSC. Mae'n cael ei hyrwyddo gan y cyfrif Twitter @DZDDAO, sydd â dros 86,000 o ddilynwyr. Mae gan y sianel Telegram sy'n gysylltiedig â'r cyfrif hwn hefyd 28,000 o aelodau. Ni allai Cointelegraph wirio sut mae’r protocol i fod i weithio, a dywedodd CertiK nad yw “yn 100% ar holl fecaneg y prosiect.” Fodd bynnag, mae rhyngwyneb defnyddiwr yr ap yn awgrymu y gellir ei ddefnyddio i ffermio tocyn o'r enw “WDZD” yn gyfnewid am stancio ETH.
Mewn sgwrs Mai 24 gyda Cointelegraph, dywedodd cynrychiolydd o CertiK y gallai WDZD hefyd fod wedi'i werthu i ddefnyddwyr ar gyfer Binance-Pegged ETH fel rhan o gynnig DEX cychwynnol (IDO). Rhannodd CertiK ddelwedd o'r hyn sy'n ymddangos yn hysbyseb WDZD ar gyfer IDO.
Y cyfeiriad BSC ar waelod yr hysbyseb yw 0xb75ac203c6fcba8d06659cd9c25a343598c6b627. Mae data Blockchain yn dangos bod cannoedd o drosglwyddiadau o ETH wedi'u gwneud i'r cyfrif hwn. Trosglwyddodd y cyfrif 460 ETH i gyfeiriad arall hefyd, lle cafodd ei ddefnyddio wedyn mewn galwad swyddogaeth “Ychwanegu Hylifedd”. Defnyddir yr alwad hon yn aml i adneuo ased i gronfa hylifedd yn gyfnewid am docynnau LP.
Mae data Blockchain yn dangos bod y 460 ETH a adneuwyd wedi dod i ben yn y contract “Swap LP” yng nghyfeiriad BSC 0xe0c352c56af65772ac7c9ab45b858cb43d22f28f.
Ar Fai 19, creodd ecsbloetiwr hysbys o'r enw “Fake_Phishing750” y contract a ddraeniodd y tocynnau o'r protocol yn ddiweddarach. Roedd Fake_Phishing750 yn gyfrifol am ymosodiad ar brotocol arall o’r enw “Swap X,” meddai CertiK.
Ar ôl i'r contract maleisus gael ei greu, defnyddiodd yr ymosodwr ef i gyflawni naw trafodiad a ddraeniodd $1.1 miliwn o ETH o'r contract Swap LP lle'r oedd yr ETH wedi'i adneuo.
Nid yw'r contract Swap LP wedi'i wirio gan BSCScan, sy'n golygu nad yw cod y gellir ei ddarllen gan bobl ar gael, gan ei gwneud hi'n anodd penderfynu yn union sut y bu i'r ymosodwr ddraenio'r arian. Fodd bynnag, honnodd CertiK y gallai'r ymosodwr drosglwyddo tocynnau WDZD i gyfeiriad ffatri'r protocol trwy alwad swyddogaeth heb ei wirio. Yna cafodd y WDZD hwn ei gyfnewid am docynnau LP, a gafodd, yn eu tro, eu hadbrynu ar gyfer yr ETH sylfaenol.
“Fe wnaeth yr ymosodwr drin galwad lefel isel yng nghyfeiriad ffatri Swap-LP a ysgogodd swyddogaeth 0x33604058 y Pair SwapLP,” meddai’r adroddiad. “Canlyniad hyn oedd trosglwyddo’r holl docynnau WDZD yn y pâr i gyfeiriad y ffatri. O ganlyniad, llwyddodd yr ymosodwr i gaffael nifer fwy o LPs SWAP o'r cyfeiriad heb ei wirio 0x3c4e06d17e243e2cb2e4568249b6f7213c43c743, gan ddefnyddio llai o WDZD ac yna llosgi'r LPs am elw. ”
Cysylltiedig: Prosiect yn dechrau gyda $31.6M mewn sgam ymadael honedig
Ceisiodd Cointelegraph gysylltu â WDZD Swap trwy sianel Telegram y tîm. Fodd bynnag, cynhyrchodd y sianel neges gwall “ni chaniateir anfon negeseuon yn y grŵp hwn”, gan nodi y gallai fod wedi'i gosod i ganiatáu postiadau gweinyddol yn unig.
Mae haciau, sgamiau a thynnu rygiau wedi plagio'r gymuned crypto yn 2023. Ar Ebrill 24, honnir bod Ordinals Finance wedi tynnu ryg, gan ddraenio dros $1 miliwn mewn asedau o gontractau'r protocol. Ar Fai 2, collwyd $1 miliwn arall pan fanteisiodd ymosodwr ar fyg mewn contract Cyllid Lefel.
Adroddodd CertiK ym mis Mai bod colledion o gampau wedi gostwng yn y chwarter cyntaf, ond dywedodd y cwmni hefyd ei bod yn debyg mai “adferiad dros dro” oedd hwn.
Ffynhonnell: https://cointelegraph.com/news/defi-protocol-wdzd-swap-exploited-for-1-1m-certik