incrypted.com
- Аналитики Chain Audits заявили, что DeFi-проект на базе блокчейна Base совершил rug pull.
- Дело касается протокола BaseBros Fi, чьи аккаунты в социальных сетях были удалены, а средства инвесторов выведены.
- Разработчикам удалось завладеть активами пользователей посредством «не прошедшего аудит и непроверенного контракта Vault».
Специалисты компании Chain Audits сообщили, что разработчики децентрализованного протокола BaseBros Fi совершили rug pull. По имеющимся данным, мошенники вывели из проекта около $130 000.
Incident Report
— Chain Audits (@ChainAudits_io) September 14, 2024
Yesterday on 13.09.2024, @BaseBrosFi, a DeFi project on @base, executed a rug pull by gaining control of and draining ecosystem funds via an unaudited and unverified Vault contract.
The BaseBrosFi team exploited the unverified Vault Contract by overriding… https://t.co/FIHK0rcUBt
Эксперты считают, что завладеть пользовательскими средствами создателям протокола удалось благодаря «не прошедшему аудит контракту Vault». Это позволило им переопределить основные функции контракта Strategy. Атака привела к выводу активов из нескольких пулов, подчеркнули аналитики.
Стоит отметить, что специалисты Chain Audits проводили аудит смарт-контрактов BaseBros Fi. Они проверили четыре из пяти алгоритмов, используемых проектов, но именно в последнем оказался внедрен так называемый бэкдор. Через него мошенники и совершили rug pull.
«ChainAudits не принимала участия в работе с непроверенными контрактами, использованными в эксплойте, а контракты, развернутые после аудита, не были предоставлены компании, поэтому не проверялись и не были включены в наш аудиторский отчет», — говорится в заявлении фирмы.
Сразу после выявления несанкционированного вывода активов аналитики допустили, что инцидент также затронул проект Seamless, который также создан на базе блокчейна Base. Это произошло из-за схожей маркировки смарт-контрактов.
Команда протокола Seamless провела внутреннее расследование и заявила, что никаких следов взлома обнаружено не было. По словам разработчиков, все средства инвесторов защищены и никаких проблем у них не возникало.
Update@SeamlessFi contracts have not been exploited and deposited assets are not at risk. We apologize for any confusion. Please wait for a more comprehensive debrief via official channels.
— Aerodrome (@AerodromeFi) September 13, 2024
Что касается BaseBros Fi, то аналитики выявили перевод украденных средств на криптомиксер Tornado Cash. При этом все социальные сети проекта удалили, а его команда не выходит на связь с инвесторами.
Напомним, мы писали, что протокол DeltaPrime пострадал от взлома на $5,9 млн.