ハッカーがフロントランを受けるとどうなるのか?
SafeMoonがスマートコントラクトをアップグレードしたわずか3時間後、エクスプロイトがコードのバグを特定して利用し、ミメコインの流動性プールから約890万ドルが失われた。
しかし、ユニークなことに、最初に脆弱性を利用したエクスプロイターは、その後すぐに別のアドレスにフロントランされました。
このフロントランナーは、SafeMoonのデプロイメント契約にメッセージを送り、交渉を開始しました: 「私たちは資金を返したいので、安全な通信チャネルを設定してください、話しましょう。
フロントランナーは現在、別のウォレットに866万ドル近くを保有しています。
フロントランナーとは、暗号アドレスが、このエクスプロイトのようなブロックチェーン上の保留中の有利な取引やトランザクションを特定し、非常に高いガス代を支払って同じ取引やトランザクションをオリジナルより先に実行させることです。
フロントランナーはその後、SafeMoonへの取引で、”詳細について話し合いましょう、あなたの電子メールアドレスを含む同じアドレスからメッセージを送信し、電子メールで私たちに連絡をしてください: [REDACTED]」と書かれていました。
声明の中で、SafeMoonチームはTCNと共有し、「状況を迅速に是正し、エクスプロイトを完全に理解するためにパートナーとの協力を続けている」とし、「実用的であればすぐにLPに流動性を再導入する予定だが、この期間中は一部のアカウント機能が制限されるかもしれない」と付け加えた
SafeMoonのバグを解除
。
That is the front runner wants to return the funds to the SafeMoon team, but the real concern is how the exploit managed to find its way into the smart contract.
PeckShieldの広報担当者は、Telegramを通じてTCNに、「パブリックバーンバグは、ハッカーが関数を呼び出してプールの流動性を燃やし、残りのWBNBと交換できることを意味します」と述べた。WBNBはバイナンスのネイティブ取引所トークンBNBのラップバージョンで、ネイティブBNBチェーンアプリケーションとのやり取りを容易にするものです
。
“ハッカーは基本的にSFM(SafeMoon)を最初に購入し、次にパブリックミントのバグを悪用してSFMの価格を上げ、そして890万ドル以上の利益を得てSFMを売っています “と広報担当者は述べています。
“これは些細なバグで、本当に何の変哲もないものです。[…]そして、それはアップグレードに全く存在しないはずです。” PeckShieldの広報担当者は、”[それは]このアップグレードが監査されていない可能性が高いです “と述べた。
あるTwitterユーザーは、SafeMoonのスマートコントラクトを2分間確認しただけでエクスプロイトを特定できたと主張しています。
。
Safemoonが890万ドルでハックされました。
最新のSafemoonの契約書を2分ほど見て、私は極めて明白な悪用を特定することができました。
攻撃者は公開されたburn()関数を利用しました。この関数は、任意のユーザーが他のアドレスからトークンを燃やすことができます(コード… pic.twitter.com/bovlyVoq1i
– DeFi Mark (@MoonMark_) March 28, 2023
」。
“特定のバグの根本原因は、特権的な使い方しかできないはずの機能へのアクセス制御が適切でなかったことです。” Immunefiのスマートコントラクトエンジニア、Gonçalo MagalhãesはTCNに語った。”これは一般的なセキュリティの脆弱性で、通常スマートコントラクトの監査段階で引っかかるものです。”
つまり、トークンを流動性プール(WBNB-SFM)に預けていた人たちは、トークンを失う危険性があったということです。あるTwitterユーザーは、400万SFM、つまり報道時点ではおよそ800ドルを失ったと主張しています
。
4mSafeMoonが財布から清算されてDeployerに送られた。
– DANOLOGY (@Danology10) March 28, 2023
」。
SafeMoonチームについては、CEOのJohn Karonyが、チェーンフォレンジックコンサルタントを雇い、問題を特定し、解決したと報告しています。
TCNと共有した声明の中で、SafeMoonチームは「徹底的な調査」を行っており、「より強力に立ち直る」と付け加えています
。
