Маленькая ошибка в коде DeFi-платформы SafeMoon позволила злоумышленникам «выкачать» криптовалюту почти на 9 миллионов долларов

Пул ликвидности токенов SafeMoon потерял 8,9 миллиона долларов после того, как неизвестный хакер воспользовался недавно добавленной функцией смарт-контрактов «burn» , которая искусственно завысила цену криптовалюты SFM, позволив участникам продавать её гораздо более выгодно.

Пулы ликвидности на платформах DeFi — это крупные депозиты криптовалюты, которые облегчают торговлю, обеспечивают рыночную ликвидность и, как правило, позволяют биржам функционировать без заимствований валюты у третьих лиц.

Вчера SafeMoon подтвердила инцидент в своём Twitter и заявила, что в настоящее время работает над решением проблемы.

Сообщение SafeMoon в Twitter

Генеральный директор SafeMoon Джон Карони заявил, что атака произошла во вторник, 28 марта, и затронула пул ликвидности SFM:BNB, но не биржу платформы целиком. «Мы обнаружили предполагаемый эксплойт, исправили уязвимость и привлекли консультанта по судебной экспертизе сети, чтобы определить точную природу и масштаб эксплойта. Пользователи должны быть уверены, что их токены остаются в безопасности. Я хочу заверить вас, что другие пулы DEX не пострадали», — говорится в заявлении директора SafeMoon.

Эксперты по безопасности блокчейна PeckShield поделились более подробной информацией об уязвимости, которую использовал хакер для ограбления SafeMoon. Согласно данным PeckShield, недавнее обновление на платформе SafeMoon представило новую функцию смарт-контрактов под названием «burn», которая позволяет «сжигать» токены. Само по себе «сжигание токенов» — вполне нормальный и правомерный процесс на криптоплошадках. Но в случае с SafeMoon функция была ошибочно установлена ​​как общедоступная, действующая без ограничений, что позволяло любому пользователю платформы воспользоваться ей.

Директор SafeMoon ранее заявлял, что «сжигание» будет использоваться только в экстренных случаях. Например, когда пул ликвидности столкнётся с рисками из-за вредоносных смарт-контрактов, чрезмерного проскальзывания и прочих моментов. Но так как ей воспользовался злоумышленник, он решил в своих интересах сжечь сразу больше количество токенов SafeMoon, в результате чего цена токена резка выросла.

Значение «public» в функции «burn»

Как только цена выросла, криптовалюта SafeMoon была продана с другого адреса по манипулируемой цене, что позволило выкачать почти 9 миллионов долларов из пула ликвидности SafeMoon:WBNB.

Довольно забавно то, что через несколько часов после атаки человек, сконвертировавший SafeMoon в BNB, заявил, что он сделал это не со злым умыслом, а «случайно зашел на опережение» после того, как цена была искусственно завышена из-за использования функции «burn». Якобы, токены сжёг кто-то другой, а этот человек просто успел выгодно провести сделку.

«Эй, расслабьтесь, мы случайно предприняли атаку против вас и хотели бы вернуть средства. Давайте настроим безопасный канал связи и поговорим», — говорится в комментарии, добавленном к транзакции.

На момент написания новости «похититель» криптовалюты перевел около 4000 монет Binance (BNB) на сумму 1,2 миллиона долларов на другой адрес, что скорректировало курс SMF в лучшую сторону. Если данная атака и правда была случайностью или простым «пранком», в скором времени вся «выкачанная» из пула ликвидности SafeMoon валюта будет возвращена обратно, и об инциденте можно будет забыть.

Тем не менее, SafeMoon точно сделала важный вывод из этой ситуации и тщательно проверила, нет ли в коде платформы других ошибок, позволяющих простым участникам криптообмена получить доступ, который им не положен в принципе. Вероятно, такие же проверки в скором времени проведут и владельцы других DeFi-платформ, чтобы не наступить на те же грабли.