X Player osui 717 000 dollarin hyökkäykseen, joka oli samanlainen kuin PGNLZ:ssä

Kryptovaluuttamaailman hyökkäysten aalto jatkuu, ja tällä kertaa uhrina on X Player -projekti. CertiK Alertin raportin mukaan valvontajärjestelmä havaitsi haavoittuvuuden sopimuksen token-polttomekanismissa, jota hyökkääjä käytti noin 717 000 dollarin varastamiseen. Hyökkäys tapahtui BNB Chain -lohkoketjussa, ja tekijä pääsi käsiksi varoihin manipuloimalla likviditeettipooleja.

Tapauksen yksityiskohdat paljastavat, että hyökkääjä hyödynsi DynamicBurnPool-funktiota, jolla oli rajoitettu pääsy (omistaja, panostus, solmujen jako-osoitteet ja markkinointi). Toteutusvirheen vuoksi hyökkäys kuitenkin mahdollisti token-parin päivittämisen ja synkronoinnin, mikä johti varojen tyhjenemiseen. Annetussa koodissa näkyy vaatimusehto msg.sender-tarkistuksella, mutta analyytikoiden mukaan tämä loi useita virhepisteitä, jotka mahdollistivat koko LP-poolin tyhjentymisen. Hyökkäystapahtuma tallennetaan CertiK Skylensiin:

__LYHYTKOODIN_TUNNUS_0__

Tämä hyväksikäyttö muistuttaa silmiinpistäviä yhtäläisyyksiä hiljattain tehtyyn PGNLZ-hyökkäykseenBNB Chainissa, jossa hyökkääjä käytti "burn pair" -haavoittuvuutta suorittaen kaksinkertaisia käänteisiä transaktioita ja varastaen noin 100 000 dollaria. PGNLZ-tapauksessa hyökkääjä ensin tyhjensi tokeneita ja manipuloi sitten PGNLP:n hintaa, jolloin USDT:tä saatiin likviditeettipoolista. CertiK:n analyytikot huomauttavat, että X Player -hyökkääjällä on yhtäläisyyksiä PGNLZ-hyödyntäjän kanssa, mikä voi viitata samaan hakkeriin tai samankaltaiseen metodologiaan.

Lisäyhteisöanalyysit, kuten Wesley Wangin ja n0b0dyn tekemät, viittaavat pikalainojen käyttöön hintamanipulaatioon yhdessä transaktiossa, mikä johtaa suurempiin tappioihin, joidenkin arvioiden mukaan jopa 964 600 USDT:hen. Kriitikot korostavat pääsynhallintaongelmia: neljä mahdollista vikakohtaa funktiossa, jotka voivat tyhjentää poolin, on "villi" virhe. Tämä korostaa perusteellisten älysopimustarkastusten tarvetta, erityisesti DeFi-projekteissa.

Laajemmassa markkinakontekstissa tällaiset tapaukset muistuttavat meitä BNB-ketjun ekosysteemin riskeistä, joissa vastaavia "palamispairien" haavoittuvuuksia on jo hyödynnetty. CertiK neuvoo kehittäjiä käyttämään ulkoisia oraakkeleita ja vahvistamaan tarkistuksia vastaavien hyökkäysten välttämiseksi tulevaisuudessa. Sijoittajille: tarkista aina sopimukset ja vältä epäilyttäviä transaktioita.