Эта блокчейн-игра была использована за 4,6 миллиона долларов прямо перед ее запуском

Super Sushi Samurai, блокчейн-игра, разработанная для решения второго уровня Blast, была взломана за несколько часов до запуска долгожданного игрового продукта.

Эксплойт, как сообщается, организованный хакером в белой шляпе, привел к потере 4,6 миллиона долларов из-за ошибки в коде смарт-контракта.

Обнаружена ошибка смарт-контракта

Согласно заявлению команды Super Sushi Samurai, эксплойт произошел из-за ошибки в коде смарт-контракта, позволяющей неавторизованной стороне инициировать бесконечную функцию монетного двора. Это привело к созданию чрезмерного количества токенов, которые впоследствии были проданы в пул ликвидности.

Нас эксплуатировали, это связано с мятой. Мы все еще изучаем код. Токены были отчеканены и проданы в LP.
Транзакция: https://t.co/F4XeqdyJu2

эксплуатируемые средства находятся в этом кошельке: https://t.co/NWeTu5vMkj

— Супер Суши Самурай | ССС (@SSS_HQ) 21 марта 2024 г.

CertiK, фирма по сетевой безопасности, подтвердила масштабы эксплойта, заявив, что пострадали токены на сумму 4,6 миллиона долларов. По данным CoinGecko, эксплойт привел к потере стоимости токена на 99% после несанкционированного дампа токена. Злоумышленнику удалось получить 1310 ETH из основного пула ликвидности токена, воспользовавшись уязвимостью смарт-контракта.

Расследование инцидента показало, что несанкционированная сторона приобрела 690 миллионов токенов SSS и инициировала серию транзакций посредством контракта на атаку, разработанного для этой цели.

@SSS_HQ $SSS LP был только что опустошен, потому что в их контракте токенов есть ошибка, из-за которой перевод всего вашего баланса на себя удваивает его.

Порядок операций уменьшает баланс для «от», а затем устанавливает баланс для «до» — если это один и тот же адрес,… pic.Twitter.com/RStMcFH3sy

— Кофе ☕️🍌 (@coffeexcoin) 21 марта 2024 г.

Воспользовавшись уязвимостью в функции обновления платформы, злоумышленник продублировал имеющиеся у него токены 25 раз, увеличив их количество до 11,5 триллионов, которые затем были обменены примерно на 1310 ETH.

Усилия по восстановлению

После взлома Super Sushi Samurai активно взаимодействовал со своим сообществом, предоставляя обновления и гарантии через свой официальный канал Telegram и другие платформы социальных сетей.

В сообщении X они сообщили, что эксплойт был осуществлен хакером в белой шляпе, который в настоящее время поддерживает связь с их командой. В сообщении хакера, видимом на Blastscan, указывалось, что это была спасательная операция и планы по возмещению ущерба пострадавшим пользователям находятся в стадии реализации.

Они также раскрыли адрес, содержащий скомпрометированные средства, чтобы облегчить отслеживание и потенциальное восстановление потерянных активов, и что они работают с хакером в белой шляпе, чтобы обеспечить безопасный возврат средств.

1. Вскрытие:
В контракте токена есть ошибка, из-за которой перевод всего баланса на себя удваивает его. ч/т @coffeexcoin

2. Подробности о повреждении:
общее количество eth в пуле до эксплойта: 1339,50 ETH
Уайтхет: 1 310,04 ETH
Блэкхэт: 40,28 ETH
снимаем LP и получаем: 29.09 ETH

3. Обновление:…

— Супер Суши Самурай | ССС (@SSS_HQ) 22 марта 2024 г.

Между тем, в «посмертном» обновлении от Super Sushi Samurai очерчен масштаб ущерба, и продолжаются переговоры по достижению решения, которое защитит как пользователей, так и хакера в белой шляпе, причастного к инциденту.