Токен Super Sushi Samurai в сети Blast взломали, расследование предполагает, что в краже замешан «хакер в белой шляпе».
Хакер воспользовался ошибкой в недавно запущенном игровом токене в сети Blast — Super Sushi Samurai (SSS), чтобы украсть Ethereum (ETH) на сумму примерно 4,6 миллиона долларов вчера, 21 марта, менее чем через месяц после его запуска.
Инцидент привел к падению стоимости токена примерно на 99%, после несанкционированного дампа токена. Злоумышленник извлек 1310 ETH из основного пула ликвидности токена, неоднократно удваивая свой баланс, а затем продавая все это, согласно деталям, которые предоставил CertiK.
В тот же день проект планировал запустить Super Sushi Samurai — свою новую Web3-игру. Инцидент мог быть организован хакером в белой шляпе, который в настоящее время поддерживает связь с командой Super Sushi Samurai. Однако на момент публикации подробности неясны.
Содержание:
Как взломали Super Sushi Samurai?
Расследование инцидента показало, что несанкционированная сторона приобрела 690 миллионов токенов SSS и впоследствии инициировала серию транзакций, посредством атаки на контракт, специально разработанный для этой цели.
Воспользовавшись уязвимостью в функции “update()”, злоумышленник смог продублировать имеющиеся у него токены 25 раз. В результате этой манипуляции количество токенов увеличилось до 11,5 триллионов, которые в конечном итоге были обменяны примерно на 1310 ETH, что эквивалентно примерно 4,6 миллионам долларов.
Взломщик использовал недостаток в механизме обновления баланса смарт-контракта, который не мог точно отразить изменения, когда токены были переведены на один и тот же адрес. Эта уязвимость позволила увеличить баланс токенов злоумышленника без законных транзакций. В феврале та же ошибка была использована для взлома токена на основе Ethereum, под названием MINER. Взлом привел к потере 168,8 ETH.
Будет ли договор с хакером?
После взлома Super Sushi Samurai связалась со своим сообществом, предоставляя обновления и гарантии, через свой официальный канал Telegram и другие платформы социальных сетей.
Команда заявила, что пытается связаться с взломщиком, а последний твит игровой платформы указывает на то, что об инциденте сообщил хакер в белой шляпе. Однако, на момент публикации неясно, несет ли «белая шляпа» ответственность за эксплойт или помогает вернуть средства.
Представители Super Sushi Samurai
«Мы работаем с хакером в белой шляпе над безопасным возвратом средств. Обновление и вскрытие последуют».
Адрес, содержащий скомпрометированные токены, был публично раскрыт, чтобы облегчить отслеживание и потенциальное восстановление потерянных активов.
- «0x786C8f95C17BB990a040dc4D6539B01FC1b72842»
Коммуникационные усилия группы направлены на информирование заинтересованных сторон о развитии инцидента и мерах по устранению уязвимости безопасности.
Этот инцидент подчеркивает критическую важность надежных протоколов безопасности в криптосекторе, где цифровая природа активов делает их уязвимыми для таких атак. В нем также подчеркиваются текущие проблемы платформ в области защиты от сложных киберугроз.