Компания X Player подверглась атаке на сумму 717 000 долларов, аналогичной атаке PGNLZ.

Волна кибератак в мире криптовалют продолжается, и на этот раз жертвой стал проект X Player. Согласно отчету CertiK Alert, система мониторинга обнаружила уязвимость в механизме сжигания токенов контракта, которую злоумышленник использовал для кражи примерно 717 000 долларов. Атака произошла на блокчейне BNB Chain, и злоумышленник получил доступ к средствам путем манипулирования пулами ликвидности.

Подробности инцидента показывают, что злоумышленник использовал уязвимость в функции DynamicBurnPool, которая имела ограниченный доступ (владелец, стейкинг, адреса для обмена узлами и маркетинг). Однако из-за ошибки реализации атака позволила обновить пару токенов и синхронизировать её, что привело к истощению средств. В предоставленном коде видно условие require с проверкой msg.sender, но, как отмечают аналитики, это создало множество точек отказа, позволив опустошить весь пул LP. Транзакция атаки зарегистрирована в CertiK Skylens:

__КОРОТКИЙ_ТОКЕН_0__

Эта уязвимость имеет поразительное сходство с недавним взломом PGNLZ на BNB Chain, где злоумышленник использовал уязвимость «сжигания пары», выполняя двойные обратные транзакции и украв около 100 000 долларов. В случае с PGNLZ злоумышленник сначала опустошил токены, а затем манипулировал ценой PGNLP, извлекая USDT из пула ликвидности. Аналитики CertiK отмечают, что действия злоумышленника X Player имеют сходство с действиями эксплойтера PGNLZ, что может указывать на то, что это один и тот же хакер или используется аналогичная методология.

Дополнительные анализы сообщества, например, от Уэсли Вана и n0b0dy, указывают на использование мгновенных займов для манипулирования ценами в рамках одной транзакции, что приводит к значительным убыткам, по некоторым оценкам , до 964 600 USDT. Критики указывают на проблемы с контролем доступа: четыре потенциальные точки отказа в функции, которая может истощить пул, — это «дикая» ошибка. Это подчеркивает необходимость тщательного аудита смарт-контрактов, особенно в проектах DeFi.

В более широком контексте рынка подобные инциденты напоминают нам о рисках в экосистеме BNB Chain, где уже были использованы аналогичные уязвимости типа «burn pair». CertiK советует разработчикам использовать внешние оракулы и усилить проверки, чтобы избежать подобных атак в будущем. Инвесторам: всегда проверяйте контракты и избегайте подозрительных транзакций.