DeFi-проект Beetsfarm Finance на базе Polygon заподозрили в мошенничестве
Проект из сферы доходного фермерства Beetsfarm Finance на блокчейне Polygon заподозрили в мошенничестве. Специалисты сервиса RugDoc обвинили разработчиков в хищении у пользователей более $120 000.
It happened…
— Rugdoc.io (@RugDocIO) June 17, 2021
🚨 https://t.co/ZsiObNQ375 finally rugged 🚨
0x369CaBe555716a3349d537DE71b3720D41aC1a1A
this is the wallet that they used.
Total funds stolen: $100K and growing@0xPolygon
I hope you revoked the approval and withdrew your funds after our rug alert. ⛔️
В RugDoc рассказали, что их сканер, настроенный на поиск неверифицированных смарт-контрактов, оценил Beetsfarm как проект с «высоким риском».
Верификация контракта позволяет убедиться, что скомпилированный код соответствует загруженному в блокчейн. Под давлением сообщества разработчики провели необходимую процедуру, после чего сканер RugDoc повторно проверил смарт-контракт.
«[Сканер] незамедлительно проверил его снова, контракт имел больше тревожных индикаторов, чем мы когда-либо видели», — отметила команда сервиса.
В RugDoc считают, что смарт-контакт Beetsfarm позволяет вносить и выводить средства на сторонние кошельки. После того, как пользователь одобрил взаимодействие с контрактом, любой желающий может инициировать транзакцию из его кошелька на адрес администрации проекта.
2) The contract allowed anyone to deposit and withdraw for anyone’s wallet: After you approve the contract, anyone could thus force you to deposit additional funds. pic.twitter.com/oo2c9f7678
— Rugdoc.io (@RugDocIO) June 17, 2021
Кодовой базой проекта также предусмотрена функция экстренного вывода средств (emergencyWithdraw). Специалисты RugDoc нашли в ней схожий эксплойт с одним важным отличием: вместо вывода активов на кошелек пользователя, соответствующий параметру «_wallet», функция переводила их на адрес администраторов проекта, обозначенный как «wallet».
4) But the emergencyWithdraw had a very convenient typo: Instead of withdrawing the funds to the users «_wallet», it withdraws them to «wallet»… which is conveniently set to the admin’s wallet. pic.twitter.com/Dzj2yNBdea
— Rugdoc.io (@RugDocIO) June 17, 2021
По данным DappRadar, в Beetsfarm зарегистрировано 289 уникальных пользователей, а объем обработанных его смарт-контрактом транзакций не превышает $245 000. При этом практически вся зафиксированная сервисом транзакционная активность приходится на 17 июня.
По словам экспертов, администрация проекта украла весомую сумму благодаря функции неограниченного перевода средств. Пользовательские активы с помощью экстренного вывода затем были перемещены на адрес, который на момент написания содержит более $123 000 в различных токенах.
Некоторые пользователи также сообщили, что их LP-токены пропали после внесения на депозит.
Yes!!!! Same problem!!
— tzappa (@tzappa9) June 18, 2021
Никаких заявлений от администрации Beetsfarm не последовало. Telegram-канал проекта удалили, а в Twitter его учетная запись помечена как «ограниченная».
Напомним, в мае команду протокола децентрализованного финансирования DeFi100 на базе Binance Smart Chain заподозрили в мошенничестве на $32 млн.
Подписывайтесь на новости ForkLog в VK!
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!