Một số người cho biết chức năng đốt mã thông báo có sẵn công khai trong hợp đồng cho phép kẻ tấn công thao túng giao thức.
Nhóm thanh khoản mã thông báo Safemoon (LP) đã bị rút gần 9 triệu đô la mã thông báo vào thứ Tư sau khi những kẻ tấn công thao túng một tính năng bị lỗi trên các hợp đồng thông minh của nó.
Dữ liệu chuỗi khối cho thấy một số mã thông báo đã được trao đổi vào đầu giờ thứ Tư trong một giao dịch duy nhất, với việc kẻ tấn công cuối cùng đã đánh cắp hàng tỷ mã thông báo SFM của Safemoon bị khóa trên một LP.
Nhóm thanh khoản là một nhóm mã thông báo được khóa trong một hợp đồng thông minh. Nhóm thanh khoản được sử dụng để tạo điều kiện thuận lợi cho giao dịch, cho vay và vay phi tập trung giữa những người dùng mà không cần dựa vào bên thứ ba.
Mã thông báo SFM của Safemoon đã giảm hơn 40% vào đầu giờ châu Á trước khi phục hồi nhẹ vào thời điểm viết bài.
Safemoon là mã thông báo tài chính phi tập trung (DeFi) có bốn chức năng diễn ra trong mỗi giao dịch: phản ánh phí, mua LP, đốt mã thông báo và quỹ tăng trưởng – với những yếu tố này góp phần đưa safemoon trở thành một trong những mã tăng giá mạnh nhất trong thị trường tăng giá năm 2021.
Các nhà phát triển Safemoon hôm thứ Tư cho biết cặp thanh khoản (LP) của họ đã bị xâm phạm. “Chúng tôi muốn thông báo với bạn rằng LP của chúng tôi đã bị xâm phạm. Chúng tôi đang hành động nhanh chóng để cố gắng giải quyết vấn đề càng sớm càng tốt,” các nhà phát triển đã tweet.
Giám đốc điều hành Safemoon John Karony cho biết trong một tweet tiếp theo rằng việc khai thác có liên quan đến một LP duy nhất trên Chuỗi BNB.
“Tôi muốn làm rõ rằng DEX của chúng tôi an toàn. Điều này cuối cùng đã ảnh hưởng đến nhóm SFM:BNB LP,” Karony nói. “Chúng tôi đã xác định vị trí khai thác bị nghi ngờ, vá lỗ hổng và đang thuê một nhà tư vấn pháp y chuỗi để xác định bản chất và mức độ khai thác chính xác.”
Một số nhà phát triển đã chỉ ra một tính năng ghi bị lỗi trên các hợp đồng thông minh của Safemoon là lý do chính đằng sau việc khai thác.
“Kẻ tấn công đã lợi dụng chức năng ghi công khai, chức năng này cho phép bất kỳ người dùng nào ghi mã thông báo từ BẤT KỲ địa chỉ nào khác (mã được đính kèm),” Giám đốc điều hành Dappd DeFi Mark đã đăng trên Twitter.