Генеральный директор Aurox Георгий Хазараде обнаружил, что хакер сливал оставшуюся ликвидность из заброшенных пулов токенов Meme, жертвами этих атак было несколько человек.
Злоумышленник использовал флэш-займ Balancer протокола DeFi для заимствования больших сумм средств, а затем перенаправил эти средства для увеличения суммы выбранного пула токенов. Как только емкость пула увеличивается, злоумышленник сливает оставшуюся ликвидность из пула и возвращает токены, заимствованные из флэш-кредита.
Хазараде отметил, что в ходе эксплойта CATOSHI (данные по цепочке показаны 29 дней назад) хакер занял около 184 миллионов долларов США в виде wETH через флэш-кредит и использовал примерно 1 миллион долларов США из этого кредита для покупки CATS. Согласно экономике токенов, каждый раз, когда кто-то торгует токенами CATOSHI, держатели токенов будут получать вознаграждение за перераспределение в размере 3%. После покупки более 166 000 CATS злоумышленники подключили токены к цепочке BNB и впоследствии продали токены примерно за 10 BNB, получив общую прибыль от 3 000 до 4 000 долларов США, а оставшиеся средства были использованы для погашения им флэш-кредита.
Хакер также несколько раз предпринимал подобные атаки против токена IMMORTAN, чтобы истощить пул ликвидности на сумму примерно от 2000 до 3000 долларов США. Хакер также вывел 4000 долларов США в ETH с CATS V3. Проект под названием CRAB также удалил из своего пула ETH на сумму 2000 долларов. Буквально вчера хакеры использовали аналогичный метод, чтобы вывести из WEEB почти 30 000 долларов ликвидности ETH.
Хазараде сказал: «Я не уверен на 100%, но похоже, что злоумышленники часто используют вредоносные смарт-контракты для злоупотребления различными токенами и истощения их ликвидности. Некоторые, похоже, специализируются на атаке только одного токена, в то время как другие контракты могут быть нацелены на различные токены. , возможно, потому, что эти токены используют некоторый код шаблона, который имеет ту же уязвимость (Blockworks).
