Розробники Telegram-гри Super Sushi Samurai повідомили, що експлуатація помилки в смартконтракті дала змогу хакеру вивести $4,6 млн з LP-гаманців.
We have been exploited, it's mint related. We are still looking into the code. Tokens were minted and sold into the LP.
Transaction:https://t.co/F4XeqdyJu2the exploited funds are in this wallet: https://t.co/NWeTu5vMkj
— Super Sushi Samurai | SSS (@SSS_HQ) March 21, 2024
Розробник Yuga Labs під ніком Coffee заявив, що це була атака подвійного витрачання. При надсиланні користувачем балансу гаманця самому собі – кошти подвоювало.
The @SSS_HQ $SSS LP was just drained on blast because their token contract has a bug where transferring your entire balance to yourself doubles it.
The order of operations decrements the balance for "from" and then sets the balance for "to" – if these are the same address, the… pic.twitter.com/RStMcFH3sy
— Coffee ☕️? (@coffeexcoin) March 21, 2024
Зломщик придбав 690 млн токенів SSS і 25 разів переказав увесь баланс собі, подвоюючи його. Потім він продав “здобуті” таким чином 11,5 трлн SSS за 1310 ETH (~$4,6 млн) на децентралізованих біржах.
Пізніше хакер зв’язався з командою проєкту через підпис у транзакції і запропонував відшкодувати кошти. На момент написання сторони ведуть переговори.
На тлі інциденту ціна токена SSS впала на 99,9% згідно з CoinGecko.
Telegram-гра Super Sushi Samurai працює в мережі Blast. Винагороди генеруються за рахунок комбінації торгового податку, знижки на комісію за транзакції в ланцюжку від Blast і доходу, отриманого від ефіру в пулі LP.
Нагадаємо, Blast являє собою EVM-сумісний протокол для масштабування, в якому задіяні Optimistic Rollups. Платформа пропонує пасивний дохід у 4-5% річних.
Проєкт запущено в листопаді 2023 року засновником NFT-маркетплейса Blur під псевдонімом Pacman. Спочатку протокол не мав навіть тестової мережі і пропонував користувачам депонувати монети через міст.
В кінці лютого розробники Blast запустили основну мережу, розблокувавши для зняття понад $2,3 млрд.
