Invasor drena US$ 1,4 milhão de pools do token CUT por meio de contrato misterioso não verificado

Um invasor drenou mais de US$ 1,4 milhão em Bows Coin Synthetic US Dollar (BSC-USD) de um pool de liquidez que mantinha tokens CUT em 10 de setembro, de acordo com um relatório da plataforma de segurança blockchain CertiK.

O contrato do token CUT dependia de um contrato separado e não verificado para definir seu parâmetro de "rendimento futuro", e esse contrato separado foi utilizado para drenar o BSC-USD por meio de um método desconhecido.

A CertiK relatou o evento no X.

O token CUT que foi explorado está localizado em um endereço que termina em 36a7 na BNB Smart Chain e é separado do projeto Crypto Unity, que possui o mesmo símbolo de ticker, mas um endereço diferente.

O pool drenado fazia parte da exchange PancakeSwap. Não há relatos de que outros pools da PancakeSwap tenham sido afetados.

Dados da blockchain mostram que o invasor realizou quatro transações separadas, drenando o pool de BSC-USD e removendo US$ 1.448.974.

*Transações de exploração do CUT. Fonte: BscScan*

O invasor não fez nenhum depósito prévio no pool e não possuía nenhum token de provedor de liquidez, tornando improvável que a transação fosse um saque legítimo.

Em cada transação, o invasor chamou uma função chamada "0x7a50b2b8". No entanto, ela não existe no contrato do token.

De acordo com o relatório, isso implica que o invasor deve ter chamado a função ILPFutureYieldContract(), que permite ao usuário chamar uma função separada em um contrato completamente diferente cujo endereço termina em 1154. Esse contrato separado não é verificado, e o BscScan mostra apenas bytecode ilegível para ele.

*Contrato separado utilizado na exploração do CUT. Fonte: BscScan*

O Cointelegraph não conseguiu encontrar nenhum site de marketing ou conta no Twitter promovendo o CUT, e os investidores podem ter confundido o token com o projeto não relacionado Crypto Unity.

Explorações são uma forma comum de os usuários da Web3 perderem fundos. Em 3 de setembro, mais de US$ 25 milhões em criptoativos foram perdidos em uma exploração do protocolo de finanças descentralizadas Penpie. Em 6 de agosto, a ponte da rede de jogos Ronin foi drenada em US$ 10 milhões após um invasor aproveitar um script de implantação defeituoso. Nesse caso, os provedores de liquidez do CUT estão coletivamente US$ 1,4 milhão mais pobres devido à exploração.