forklog.com
Разработчики Telegram-игры Super Sushi Samurai сообщили, что эксплуатация ошибки в смарт-контракте позволила хакеру вывести $4,6 млн с LP-кошельков.
We have been exploited, it's mint related. We are still looking into the code. Tokens were minted and sold into the LP.
— Super Sushi Samurai | SSS (@SSS_HQ) March 21, 2024
Transaction:https://t.co/F4XeqdyJu2
the exploited funds are in this wallet: https://t.co/NWeTu5vMkj
Разработчик Yuga Labs под ником Coffee заявил, что это была атака двойного расходования. При отправке пользователем баланса кошелька самому себе это удваивало средства.
The @SSS_HQ $SSS LP was just drained on blast because their token contract has a bug where transferring your entire balance to yourself doubles it.
— Coffee ☕️🍌 (@coffeexcoin) March 21, 2024
The order of operations decrements the balance for "from" and then sets the balance for "to" — if these are the same address, the… pic.twitter.com/RStMcFH3sy
Взломщик приобрел 690 млн токенов SSS и 25 раз перевел весь баланс себе, удваивая его. Затем он продал «добытые» таким образом 11,5 трлн SSS за 1310 ETH (~$4,6 млн) на децентрализованных биржах.
Позднее хакер связался с командой проекта через подпись в транзакции и предложил возместить средства. На момент написания стороны ведут переговоры.
На фоне инцидента цена токена SSS рухнула на 99,9% согласно CoinGecko.
Telegram-игра Super Sushi Samurai работает в сети Blast. Вознаграждения генерируются за счет комбинации торгового налога, скидки на комиссию за транзакции в цепочке от Blast и дохода, полученного от эфира в пуле LP.
Напомним, Blast представляет собой EVM-совместимый протокол для масштабирования, в котором задействованы Optimistic Rollups. Платформа предлагает пассивный доход в 4-5% годовых.
Проект запущен в ноябре 2023 года основателем NFT-маркетплейса Blur под псевдонимом Pacman. Изначально протокол не имел даже тестовой сети и предлагал пользователям депонировать монеты через мост.