Crypto Pwnage: из пула лотереи децентрализованной биржи PancakeSwap украдены 59 765 CAKE — Bits Media

Создатель Александра Демидова Криптовалютный аналитик Crypto Pwnage пишет, что токены стоимостью наиболее $1.8 млн выведены из 1-го из пулов PancakeSwap.

Как докладывает Crypto Pwnage в блоге на Medium, с 12 апреля 2021 года человек, у которого был доступ к адресу админа PancakeSwap в Binance Smart Chain (0x35f16a46d3cf19010d28578a8b02dfa3cb4095a1), украл из пула лотереи PancakeSwap 59 765 CAKE стоимостью около $1.8 млн.

Злодей употреблял уязвимость пару раз. Скоро опосля крайней кражи лотерея была приостановлена, и адресок был заблокирован PancakeSwap. Согласно статье, ее создатель подождал несколько недель, чтоб отдать PancakeSwap довольно времени для публикации инфы о краже и покрытия убытков пострадавших юзеров. Но децентрализованная биржа так и не раскрыла данные.

По инфы Crypto Pwnage, админ PancakeSwap употреблял свою возможность вручную вызывать способы лотерейного договора. Он сразу выполнил несколько коллов (покупка, вход в розыгрыш, розыгрыш) и расположил их все в один блок. Это отдало ему возможность предвещать количество джекпотов, так как генератор случайных чисел, основанный на хэше предшествующего блока, больше не был случайным.

Для выполнения запросов в правильной последовательности снутри всякого блока, он устанавливал различные понижающиеся цены на газ для каждой транзакции. Злодей также улучшал свою стратегию с 21 апреля и уточнял цены на газ, чтоб транзакции стали поближе друг к другу снутри блока.

Можно представить, что транзакции не соединены, и это всего только случайная опережающая сделка. Но Crypto Pwnage приводит несколько подтверждений, развеивающих это предположение. К примеру, согласованное изменение цен на газ с 19 по 21 апреля и то, что админ практически сделал возможность использования уязвимости для одновременного выполнения 2-ух транзакций.

Аналитик также предложил исправление для устранения способностей использования схожих уязвимостей в дальнейшем, включая конфигурации критериев транзакции розыгрыша, чтоб номера джекпотов были вправду случайными.

Напомним, что в марте децентрализованная биржа PancakeSwap подверглась фишинговым атакам на серверы DNS.

Источник

Author: Zero