A principal razão para este ataque é que a parte do projeto Swaprum usou a função do contrato de proxy para mudar o contrato de implementação e mudou o contrato de implementação normal para o contrato de implementação com a função backdoor, de modo que a função backdoor roubou os ativos líquidos hipotecado pelo usuário.
Escrito por: Beosin
Em 19 de maio de 2022, de acordo com a plataforma de conscientização situacional Beosin-EagleEye, o projeto Swaprum no projeto de cadeia pública **Arbitrum era suspeito de ser um puxão de tapete, envolvendo um valor de cerca de 3 milhões de dólares americanos. **
A equipe de segurança do Beosin analisou o incidente pela primeira vez e descobriu que havia um backdoor no pool de recompensa de hipoteca de liquidez implantado pela parte do projeto. A parte do projeto (Swaprum: Deployer) usou a função backdoor add() para roubar a liquidez o usuário hipoteca Tokens, a fim de atingir o objetivo de remover a liquidez do pool de negociação para obter lucro. **
Informações relacionadas ao evento
Transações de ataque (devido à existência de um grande número de transações de ataque, apenas algumas delas são mostradas aqui)
Por conveniência, vamos pegar duas das transações como exemplos:
Chame a função add backdoor para roubar tokens de liquidez)
Remover lucro de liquidez)
A parte do projeto Swaprum (Swaprum: Deployer) rouba os tokens de liquidez prometidos pelos usuários no contrato TransparentUpgradeableProxy chamando a função backdoor add() do contrato TransparentUpgradeableProxy.
Depois de descompilar o contrato de implementação, há realmente um backdoor na função add(). A função backdoor transferirá os tokens de liquidez no contrato para o endereço _devadd [consultando o endereço _devadd, o endereço será retornado como o endereço da parte do projeto Swaprum (Swaprum: Deployer)].
A parte do projeto Swaprum (Swaprum: Implantador) usa os tokens de liquidez roubados na primeira etapa para remover os tokens de liquidez para obter muitos benefícios.
Vale a pena notar que não há brecha no contrato de hipoteca de liquidez original da parte do projeto, mas o contrato de recompensa de hipoteca de liquidez normal
(
Substituído por um contrato de recompensa de apostas de liquidez backdoored
(
Análise de vulnerabilidade
A principal razão para este ataque é que a parte do projeto **Swaprum usou a função do contrato de proxy para mudar o contrato de implementação e trocou o contrato de implementação normal para o contrato de implementação com a função backdoor, de modo que a função backdoor roubou o líquido bens hipotecados pelo usuário. **
Rastreamento de fundos
No momento da publicação, a plataforma de análise anti-lavagem de dinheiro Beosin KYT descobriu que cerca de 1.628 ETH (aproximadamente US$ 3 milhões) de fundos roubados foram transferidos para o Ethereum e 1.620 ETH foram depositados no Tornado Cash.
Ver original
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
Rug Pull ocorreu em mais um projeto da cadeia pública Arbitrum, envolvendo um valor de cerca de 3 milhões de dólares americanos
Escrito por: Beosin
Em 19 de maio de 2022, de acordo com a plataforma de conscientização situacional Beosin-EagleEye, o projeto Swaprum no projeto de cadeia pública **Arbitrum era suspeito de ser um puxão de tapete, envolvendo um valor de cerca de 3 milhões de dólares americanos. **
A equipe de segurança do Beosin analisou o incidente pela primeira vez e descobriu que havia um backdoor no pool de recompensa de hipoteca de liquidez implantado pela parte do projeto. A parte do projeto (Swaprum: Deployer) usou a função backdoor add() para roubar a liquidez o usuário hipoteca Tokens, a fim de atingir o objetivo de remover a liquidez do pool de negociação para obter lucro. **
Informações relacionadas ao evento
Transações de ataque (devido à existência de um grande número de transações de ataque, apenas algumas delas são mostradas aqui)
Endereço do invasor
0xf2744e1fe488748e6a550677670265f664d96627** (Swaprum: Implantador)**
Contrato vulnerável
0x2b6dec18e8e4def679b2e52e628b14751f2f66bc
(Contrato TransparentUpgradeableProxy)
0xcb65D65311838C72e35499Cc4171985c8C47D0FC
(Contrato de Implementação)
Processo de ataque
Por conveniência, vamos pegar duas das transações como exemplos:
Chame a função add backdoor para roubar tokens de liquidez)
Remover lucro de liquidez)
(
Substituído por um contrato de recompensa de apostas de liquidez backdoored
(
Análise de vulnerabilidade
A principal razão para este ataque é que a parte do projeto **Swaprum usou a função do contrato de proxy para mudar o contrato de implementação e trocou o contrato de implementação normal para o contrato de implementação com a função backdoor, de modo que a função backdoor roubou o líquido bens hipotecados pelo usuário. **
Rastreamento de fundos
No momento da publicação, a plataforma de análise anti-lavagem de dinheiro Beosin KYT descobriu que cerca de 1.628 ETH (aproximadamente US$ 3 milhões) de fundos roubados foram transferidos para o Ethereum e 1.620 ETH foram depositados no Tornado Cash.