Основною причиною цієї атаки є те, що сторона проекту Swaprum використовувала функцію проксі-контракту для перемикання контракту про реалізацію та змінила звичайний контракт реалізації на контракт реалізації з бекдор-функцією, таким чином функція бекдору викрала ліквідні активи в іпотеку користувача.
Автор: Beosin
19 травня 2022 року, за даними платформи ситуаційної обізнаності Beosin-EagleEye, проект Swaprum у публічному ланцюзі **Arbitrum був підозрюваним як Rug Pull із сумою близько 3 мільйонів доларів США. **
Команда безпеки Beosin вперше проаналізувала інцидент і виявила, що в пулі винагороди за іпотекою ліквідності, розгорнутому стороною проекту, був бекдор. Сторона проекту (Swaprum: Deployer) використовувала бекдор-функцію add() для викрадення ліквідності. іпотечних токенів користувачів, щоб досягти мети усунення ліквідності торгового пулу для отримання прибутку. **
Інформація про подію
Транзакції атаки (через існування великої кількості транзакцій атаки тут показано лише деякі з них)
Для зручності розглянемо дві транзакції як приклади:
Виклик функції додавання бекдору для крадіжки токенів ліквідності)
Видалити прибуток від ліквідності)
Сторона проекту Swaprum (Swaprum: Deployer) викрадає токени ліквідності, надані користувачами в контракті TransparentUpgradeableProxy, викликаючи бекдор-функцію add() контракту TransparentUpgradeableProxy.
Після декомпіляції контракту реалізації у функції add() справді є бекдор. Функція бекдору передасть токени ліквідності в контракті на адресу _devadd [запитуючи адресу _devadd, адреса буде повернена як адреса сторони проекту Swaprum (Swaprum: Deployer)].
Сторона проекту Swaprum (Swaprum: Deployer) використовує вкрадені токени ліквідності на першому кроці, щоб видалити токени ліквідності, щоб отримати багато переваг.
Варто зазначити, що в оригінальному контракті про іпотеку ліквідності сторони проекту немає жодної лазівки, а є звичайний контракт винагороди за іпотекою ліквідності
(
Замінено бекдорним контрактом на винагороду за ставку ліквідності
(
Аналіз вразливості
Основною причиною цієї атаки є те, що сторона проекту **Swaprum використовувала функцію проксі-контракту для перемикання контракту про впровадження та перемикала звичайний контракт про впровадження на контракт про впровадження з бекдор-функцією, таким чином функція бекдору вкрала рідину активи, закладені користувачем. **
Відстеження коштів
На момент публікації аналітична платформа Beosin KYT для боротьби з відмиванням грошей виявила, що близько 1628 ETH (приблизно 3 мільйони доларів США) викрадених коштів були перехресно переведені в Ethereum, а 1620 ETH було внесено в Tornado Cash.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Rug Pull стався на іншому проекті публічної мережі Arbitrum на суму близько 3 мільйонів доларів США
Автор: Beosin
19 травня 2022 року, за даними платформи ситуаційної обізнаності Beosin-EagleEye, проект Swaprum у публічному ланцюзі **Arbitrum був підозрюваним як Rug Pull із сумою близько 3 мільйонів доларів США. **
Команда безпеки Beosin вперше проаналізувала інцидент і виявила, що в пулі винагороди за іпотекою ліквідності, розгорнутому стороною проекту, був бекдор. Сторона проекту (Swaprum: Deployer) використовувала бекдор-функцію add() для викрадення ліквідності. іпотечних токенів користувачів, щоб досягти мети усунення ліквідності торгового пулу для отримання прибутку. **
Інформація про подію
Транзакції атаки (через існування великої кількості транзакцій атаки тут показано лише деякі з них)
Адреса зловмисника
0xf2744e1fe488748e6a550677670265f664d96627**(Swaprum: розгортач)**
Вразливий контракт
0x2b6dec18e8e4def679b2e52e628b14751f2f66bc
(Контракт TransparentUpgradeableProxy Contract)
0xcb65D65311838C72e35499Cc4171985c8C47D0FC
(Договір про реалізацію)
Процес атаки
Для зручності розглянемо дві транзакції як приклади:
Виклик функції додавання бекдору для крадіжки токенів ліквідності)
Видалити прибуток від ліквідності)
(
Замінено бекдорним контрактом на винагороду за ставку ліквідності
(
Аналіз вразливості
Основною причиною цієї атаки є те, що сторона проекту **Swaprum використовувала функцію проксі-контракту для перемикання контракту про впровадження та перемикала звичайний контракт про впровадження на контракт про впровадження з бекдор-функцією, таким чином функція бекдору вкрала рідину активи, закладені користувачем. **
Відстеження коштів
На момент публікації аналітична платформа Beosin KYT для боротьби з відмиванням грошей виявила, що близько 1628 ETH (приблизно 3 мільйони доларів США) викрадених коштів були перехресно переведені в Ethereum, а 1620 ETH було внесено в Tornado Cash.