Основная причина этой атаки заключается в том, что проектная сторона Swaprum использовала функцию прокси-контракта для переключения контракта на реализацию и переключила обычный контракт на реализацию на контракт на реализацию с функцией бэкдора, так что функция бэкдора украла ликвидные активы заложено пользователем.
Автор: Беосин
19 мая 2022 года, по данным платформы ситуационной осведомленности Beosin-EagleEye, проект Swaprum в проекте публичной сети **Arbitrum подозревался в мошенничестве на сумму около 3 миллионов долларов США. **
Команда безопасности Beosin впервые проанализировала инцидент и обнаружила наличие бэкдора в пуле ипотечных вознаграждений за ликвидность, развернутом проектной стороной. пользователь закладывает токены для достижения цели удаления ликвидности торгового пула для получения прибыли. **
Информация, связанная с событием
Транзакции атаки (из-за существования большого количества транзакций атаки здесь показаны только некоторые из них)
Для удобства возьмем в качестве примера две транзакции:
Вызовите функцию добавления бэкдора, чтобы украсть токены ликвидности)
Удалить прибыль от ликвидности)
Сторона проекта Swaprum (Swaprum: Deployer) крадет токены ликвидности, заложенные пользователями в контракте TransparentUpgradeableProxy, вызывая бэкдор-функцию add() контракта TransparentUpgradeableProxy.
После декомпиляции контракта реализации в функции add() действительно есть лазейка. Функция бэкдора переведет токены ликвидности в контракте на адрес _devadd [при запросе адреса _devadd адрес будет возвращен как адрес участника проекта Swaprum (Swaprum: Deployer)].
Участник проекта Swaprum (Swaprum: Deployer) использует украденные токены ликвидности на первом этапе, чтобы удалить токены ликвидности, чтобы получить множество преимуществ.
Стоит отметить, что в первоначальном договоре об ипотеке ликвидности стороны проекта нет лазейки, а есть договор о вознаграждении за обычную ипотеку ликвидности.
(
Заменен скрытым контрактом вознаграждения за стекинг ликвидности.
(
Анализ уязвимостей
Основная причина этой атаки заключается в том, что сторона проекта **Swaprum использовала функцию прокси-контракта для переключения контракта на реализацию и переключила обычный контракт на реализацию на контракт на реализацию с функцией бэкдора, так что функция бэкдора украла ликвидные имущество, заложенное пользователем. **
Отслеживание средств
На момент публикации платформа анализа противодействия отмыванию денег Beosin KYT обнаружила, что около 1 628 ETH (примерно 3 миллиона долларов США) украденных средств были перекрестно привязаны к Ethereum, а 1 620 ETH были депонированы в Tornado Cash.
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Rug Pull произошел в другом проекте публичной сети Arbitrum на сумму около 3 миллионов долларов США.
Автор: Беосин
19 мая 2022 года, по данным платформы ситуационной осведомленности Beosin-EagleEye, проект Swaprum в проекте публичной сети **Arbitrum подозревался в мошенничестве на сумму около 3 миллионов долларов США. **
Команда безопасности Beosin впервые проанализировала инцидент и обнаружила наличие бэкдора в пуле ипотечных вознаграждений за ликвидность, развернутом проектной стороной. пользователь закладывает токены для достижения цели удаления ликвидности торгового пула для получения прибыли. **
Информация, связанная с событием
Транзакции атаки (из-за существования большого количества транзакций атаки здесь показаны только некоторые из них)
Адрес злоумышленника
0xf2744e1fe488748e6a550677670265f664d96627** (Swaprum: Deployer)**
Уязвимый контракт
0x2b6dec18e8e4def679b2e52e628b14751f2f66bc
(Прозрачный обновляемый прокси-контракт)
0xcb65D65311838C72e35499Cc4171985c8C47D0FC
(Контракт на реализацию)
Процесс атаки
Для удобства возьмем в качестве примера две транзакции:
Вызовите функцию добавления бэкдора, чтобы украсть токены ликвидности)
Удалить прибыль от ликвидности)
(
Заменен скрытым контрактом вознаграждения за стекинг ликвидности.
(
Анализ уязвимостей
Основная причина этой атаки заключается в том, что сторона проекта **Swaprum использовала функцию прокси-контракта для переключения контракта на реализацию и переключила обычный контракт на реализацию на контракт на реализацию с функцией бэкдора, так что функция бэкдора украла ликвидные имущество, заложенное пользователем. **
Отслеживание средств
На момент публикации платформа анализа противодействия отмыванию денег Beosin KYT обнаружила, что около 1 628 ETH (примерно 3 миллиона долларов США) украденных средств были перекрестно привязаны к Ethereum, а 1 620 ETH были депонированы в Tornado Cash.