Bu saldırının ana nedeni, Swaprum proje tarafının uygulama sözleşmesini değiştirmek için vekalet sözleşmesinin işlevini kullanması ve arka kapı işleviyle normal uygulama sözleşmesini uygulama sözleşmesine çevirmesi ve böylece arka kapı işlevinin likit varlıkları çalmasıdır. kullanıcı tarafından ipotek edilir.
Yazan: Beosin
Beosin-EagleEye durumsal farkındalık platformuna göre 19 Mayıs 2022'de **Arbitrum kamu zinciri projesindeki Swaprum projesinin, yaklaşık 3 milyon ABD doları tutarında bir Rug Pull olduğundan şüpheleniliyordu. **
Beosin güvenlik ekibi olayı ilk kez analiz etti ve proje tarafı tarafından dağıtılan likidite ipotek ödül havuzunda bir arka kapı olduğunu keşfetti.Proje tarafı (Swaprum: Deployer), likiditeyi çalmak için add() arka kapı işlevini kullandı. ticaret havuzunun likiditesini kar amacıyla çıkarma amacına ulaşmak için kullanıcı ipotek Jetonları. **
Etkinlikle ilgili bilgiler
Saldırı işlemleri (çok sayıda saldırı işlemi olduğu için burada yalnızca bir kısmı gösterilmektedir)
Kolaylık olması için, işlemlerden ikisini örnek olarak alalım:
Likidite belirteçlerini çalmak için arka kapı ekleme işlevini çağırın)
Likidite kârını kaldır)
Swaprum proje tarafı (Swaprum: Deployer), TransparentUpgradeableProxy sözleşmesinin add() arka kapı işlevini çağırarak TransparentUpgradeableProxy sözleşmesinde kullanıcılar tarafından taahhüt edilen likidite belirteçlerini çalar.
Uygulama sözleşmesini kaynak koda dönüştürdükten sonra, gerçekten de add() işlevinde bir arka kapı vardır. Arka kapı işlevi, sözleşmedeki likidite tokenlerini _devadd adresine aktaracaktır [_devadd adresini sorgulayarak, adres, Swaprum proje tarafının (Swaprum: Deployer) adresi olarak döndürülecektir].
Swaprum proje tarafı (Swaprum: Deployer), birçok fayda elde etmek için likidite jetonlarını çıkarmak için ilk adımda çalınan likidite jetonlarını kullanır.
Proje tarafının orijinal likidite ipotek sözleşmesinde herhangi bir boşluk bulunmadığını, ancak normal likidite ipotek ödül sözleşmesini belirtmekte fayda var.
(
Arka kapılı bir likidite staking ödül sözleşmesi ile değiştirildi
(
Güvenlik açığı analizi
Bu saldırının ana nedeni, **Swaprum proje tarafının uygulama sözleşmesini değiştirmek için proxy sözleşmesinin işlevini kullanması ve arka kapı işleviyle normal uygulama sözleşmesini uygulama sözleşmesine çevirmesi, böylece arka kapı işlevinin sıvıyı çalmasıdır. kullanıcı tarafından ipotek edilen varlıklar. **
Para Takibi
Yayın tarihi itibariyle, Beosin KYT kara para aklamayı önleme analiz platformu, yaklaşık 1.628 ETH'nin (yaklaşık 3 milyon ABD Doları) çalınan fonun Ethereum'a çapraz zincirlendiğini ve 1.620 ETH'nin Tornado Cash'e yatırıldığını tespit etti.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Rug Pull, yaklaşık 3 milyon ABD doları tutarında başka bir Arbitrum halka açık zincir projesinde gerçekleşti.
Yazan: Beosin
Beosin-EagleEye durumsal farkındalık platformuna göre 19 Mayıs 2022'de **Arbitrum kamu zinciri projesindeki Swaprum projesinin, yaklaşık 3 milyon ABD doları tutarında bir Rug Pull olduğundan şüpheleniliyordu. **
Beosin güvenlik ekibi olayı ilk kez analiz etti ve proje tarafı tarafından dağıtılan likidite ipotek ödül havuzunda bir arka kapı olduğunu keşfetti.Proje tarafı (Swaprum: Deployer), likiditeyi çalmak için add() arka kapı işlevini kullandı. ticaret havuzunun likiditesini kar amacıyla çıkarma amacına ulaşmak için kullanıcı ipotek Jetonları. **
Etkinlikle ilgili bilgiler
Saldırı işlemleri (çok sayıda saldırı işlemi olduğu için burada yalnızca bir kısmı gösterilmektedir)
Saldırganın Adresi
0xf2744e1fe488748e6a550677670265f664d96627**(Swaprum: Dağıtıcı)**
Hassas sözleşme
0x2b6dec18e8e4def679b2e52e628b14751f2f66bc
(TransparentUpgradeableProxy Sözleşmesi)
0xcb65D65311838C72e35499Cc4171985c8C47D0FC
(Uygulama Sözleşmesi)
Saldırı süreci
Kolaylık olması için, işlemlerden ikisini örnek olarak alalım:
Likidite belirteçlerini çalmak için arka kapı ekleme işlevini çağırın)
Likidite kârını kaldır)
(
Arka kapılı bir likidite staking ödül sözleşmesi ile değiştirildi
(
Güvenlik açığı analizi
Bu saldırının ana nedeni, **Swaprum proje tarafının uygulama sözleşmesini değiştirmek için proxy sözleşmesinin işlevini kullanması ve arka kapı işleviyle normal uygulama sözleşmesini uygulama sözleşmesine çevirmesi, böylece arka kapı işlevinin sıvıyı çalmasıdır. kullanıcı tarafından ipotek edilen varlıklar. **
Para Takibi
Yayın tarihi itibariyle, Beosin KYT kara para aklamayı önleme analiz platformu, yaklaşık 1.628 ETH'nin (yaklaşık 3 milyon ABD Doları) çalınan fonun Ethereum'a çapraz zincirlendiğini ve 1.620 ETH'nin Tornado Cash'e yatırıldığını tespit etti.