Проблема возникла из‑за встроенной функции ATM, которая конвертировала часть переводимых токенов в BSC‑USD во время транзакций, предположили специалисты по безопасности. В отличие от стандартной процедуры перевода токенов, которая просто перемещает активы между кошельками, взломанный контракт ATM выполнял автоматическую принудительную конвертацию части токенов во время транзакций. В итоге на кошелек пользователей приходили не только ATM, но еще и BSC‑USD
В обычных условиях контракт конвертировал 20% перемещаемых одной транзакцией токенов в BSC‑USD. По версии CertiK, хакеры смогли несколько раз активировать эту функцию в рамках одного перевода токенов и таким образом вывели дополнительные средства из протокола. То есть вместо одного автоматического зачисления 20% конвертируемых токенов они смогли получить несколько таких зачислений подряд: система снова и снова запускала конвертацию и зачисляла средства на счет злоумышленников. Специалисты по безопасности считают, что ошибка была изначально заложена в коде функции, то есть сам механизм был сырым и не протестированным должным образом.
#CertiKInsight
We have seen an exploit of ~$243K on ATM token. The transferFrom() includes logic to swap 20% transfer amount of ATM for BSC-USD, so the attacker can repeatedly swap out extra after transfer.https://t.co/mf6uhujZgK
Stay vigilant! pic.twitter.com/hwN1B3Xt0m
ATM пока не сообщал об инциденте. Точные масштабы кражи неизвестны.
На днях произошел взлом проекта TesseraDAO, тоже работающего на блокчейне BNB Chain. Злоумышленник создал 99 млн фейковых токенов TSR и быстро продал их, что привело к обесцениванию монеты. За несколько дней до этого неизвестный вывел из криптомоста Alephium TokenBridge в сети Эфириума активы на сумму около $815 000. Частью атаки была эмиссия 13,76 млн необеспеченных обернутых токенов ALPH.