DEX SafeMoon потеряла $9 млн в результате взлома

Неизвестный скомпрометировал пул ликвидности децентрализованной биржи (DEX) SafeMoon на BNB Chain и вывел активы на сумму около $9 млн.

To our valued community,

As you may be aware, on Tuesday 28 March, SafeMoon’s Liquidity Pool was compromised. We have taken swift action to resolve the situation and protect our community. I want to make clear that our DEX is safe. This ultimately affected the SFM:BNB LP pool.…

— John Karony (@CptHodl) March 29, 2023

CEO платформы Джон Карони сообщил, что речь идет о ликвидной паре SFM/BNB. 

«Мы обнаружили предполагаемый эксплойт, исправили уязвимость и привлекаем консультанта по ончейн-криминалистике для определения точного характера и масштабов инцидента», — отметил он.

Карони заверил, что взлом не затронул другие пулы и кошелек SafeMoon, а средства пользователей находятся в безопасности.

Эксперты PeckShield предположили, что баг, который использовал хакер, появился в результате предыдущего обновления кода функции сжигания. Уязвимость позволила злоумышленнику манипулировать ценой SFM и одной транзакцией вывести из контракта «обернутые» BNB (WBNB) стоимостью почти $9 млн, согласно BscScan.

Hi @safemoon The upgrade, with the exploited public burn bug, was initiated by the official SafeMoon: Deployer. (Admin key leak?) And here comes the upgrade tx. https://t.co/ffAhm9qhgG https://t.co/KYEiYxMRII pic.twitter.com/9CQhseircP

— PeckShield Inc. (@peckshield) March 28, 2023

Через несколько часов после инцидента неизвестный отправил на адрес развертывания SafeMoon транзакцию с подписью:

«Эй, расслабьтесь, мы случайно зафронтранили атаку против вас и хотели бы вернуть средства. Давайте установим безопасный канал связи и поговорим».

Команда биржи вступила в переписку через ончейн-сообщения. Хакер предложил продолжить коммуникацию посредством электронной почты.

Напомним, 13 марта неизвестный взломал DeFi-протокол Euler Finance и вывел активы стоимостью $196 млн, включая 85 800 ETH.

Однако 25 марта он вернул проекту большую часть украденных средств — свыше 58 700 ETH. Через три дня хакер продолжил возмещение похищенных активов, отправив Euler Finance 23 214 ETH и $10,7 млн в стейблкоине DAI.