🔥 Gate.io #EIGEN# Campanha de Listagem por Tempo Limitado está a Arder, Partilhe $20,000 de Recompensas!
Depósito #EIGEN# para Split $13,000
Negocie #EIGEN# para dividir Extra $4,000
Novos Usuários Exclusivo: Partilhe um Prémio de $3,000
🚀 Junte-se agora: https://www.gate.io/questionnaire/5209
Detalhes: https://www.gate.io/announcements/article/39599
Rug Pull ocorreu em mais um projeto da cadeia pública Arbitrum, envolvendo um valor de cerca de 3 milhões de dólares americanos
Escrito por: Beosin
Em 19 de maio de 2022, de acordo com a plataforma de conscientização situacional Beosin-EagleEye, o projeto Swaprum no projeto de cadeia pública **Arbitrum era suspeito de ser um puxão de tapete, envolvendo um valor de cerca de 3 milhões de dólares americanos. **
A equipe de segurança do Beosin analisou o incidente pela primeira vez e descobriu que havia um backdoor no pool de recompensa de hipoteca de liquidez implantado pela parte do projeto. A parte do projeto (Swaprum: Deployer) usou a função backdoor add() para roubar a liquidez o usuário hipoteca Tokens, a fim de atingir o objetivo de remover a liquidez do pool de negociação para obter lucro. **
Informações relacionadas ao evento
Transações de ataque (devido à existência de um grande número de transações de ataque, apenas algumas delas são mostradas aqui)
Endereço do invasor
0xf2744e1fe488748e6a550677670265f664d96627** (Swaprum: Implantador)**
Contrato vulnerável
0x2b6dec18e8e4def679b2e52e628b14751f2f66bc
(Contrato TransparentUpgradeableProxy)
0xcb65D65311838C72e35499Cc4171985c8C47D0FC
(Contrato de Implementação)
Processo de ataque
Por conveniência, vamos pegar duas das transações como exemplos:
Chame a função add backdoor para roubar tokens de liquidez)
Remover lucro de liquidez)
(
Substituído por um contrato de recompensa de apostas de liquidez backdoored
(
Análise de vulnerabilidade
A principal razão para este ataque é que a parte do projeto **Swaprum usou a função do contrato de proxy para mudar o contrato de implementação e trocou o contrato de implementação normal para o contrato de implementação com a função backdoor, de modo que a função backdoor roubou o líquido bens hipotecados pelo usuário. **
Rastreamento de fundos
No momento da publicação, a plataforma de análise anti-lavagem de dinheiro Beosin KYT descobriu que cerca de 1.628 ETH (aproximadamente US$ 3 milhões) de fundos roubados foram transferidos para o Ethereum e 1.620 ETH foram depositados no Tornado Cash.