Проект GameFi Super Sushi Samurai (SSS), построенный на базе блокчейна второго уровня Coinbase и приложении для обмена сообщениями Telegram, 21 марта увидел вывод 4,8 миллиона долларов из своих пулов ликвидности. Сообщается, что это сделал белый хакер после обнаружения мошенничества с двойными тратами.
Аналитическая компания CertiK, занимающаяся блокчейн-аналитикой, отметила, что «уязвимость находится в функции _update() контрактов [SSS], которая неправильно обновляет балансы при передаче на себя». Таким образом, когда пользователь переводит себе весь свой баланс токенов SSS, итоговый баланс удваивается.
CertiK отметила, что во время инцидента один пользователь, работающий по адресу 0x786C8f95C17BB990a040dc4D6539B01FC1b72842, первоначально приобрел 690 миллионов токенов SSS, перевел весь баланс себе, удвоил его 25 раз и, наконец, закончил «11,5 триллионами токенов SSS, которые затем были проданы за 1310 ETH (~4 590 827 долларов США)».
Вскоре после инцидента пользователь, дважды потративший токены, заявил в сообщении блокчейна:
«Привет, команда, это спасательный хак. Давайте поработаем над компенсацией пользователям. Пожалуйста, свяжитесь с чатом Blockscan у развертывателя SSS 0x555b28f3b8b3b8ebd1b06997c2078fd94529f555 в основной сети Ethereum».
Однако, несмотря на его добрую волю, стоит отметить, что самопровозглашенный белый хакер привела к краху токена SSS после вывода средств на сумму 4,8 миллиона долларов. До краха общая рыночная капитализация SSS составляла 27,75 миллиона долларов. С тех пор токены потеряли более 99% своей стоимости. В тот же день разработчики SSS ответили:
«Здравствуй, белая шляпа; мы связались с вами через Blockscan. Спасибо за сотрудничество с нами. Команда SSS».
Всего за месяц до этого новый майнер токенов ERC-X вышел потерял 99% после того, как пользователь обнаружил сбой двойного расходования, который привел к бесконечной чеканке токенов.
«Жаль, что в контракте есть лазейки низкого уровня. Вы можете удвоить свой баланс, переведя деньги себе», — сказал Юй Сянь, соучредитель сингапурской компании по безопасности блокчейнов SlowMist, по поводу инцидента.
Сбой привел к потерям пользователей на сумму более 10 миллионов долларов.