Цепочка BNB Chain выманивает у пользователей 2 млн долларов (11 млн долларов по сегодняшним ценам на BNB). Пользователи обращаются за помощью в Binance. Binance заявляет, что заморозила средства, но затем отказывается от своего заявления. Средства пролежали в адресе почти два года, когда Binance неожиданно приняла меры по замораживанию кошелька мошенника, на котором уже было 10,8 млн. долл. Ранее Binance заявляла, что не может замораживать кошельки вне адресов биржи из-за децентрализованной природы цепочек BNB. Пользователи недовольны и требуют от Binance большего. Такова история мошенничества PopcornSwap.

28 января 2021 г. децентрализованная биржа PopcornSwap на платформе Build N Build (BNB) Chain осуществила мошенничество с выводом средств, похитив более 2 млн. долл. активов поставщиков ликвидности с помощью малоизвестной функции "preUpgrade", заложенной в смарт-контракте биржи. Пользователи надеялись, что Binance, создатель BNB Chain, сможет заморозить адрес мошенника. С тех пор стоимость BNB на счету мошенника выросла более чем до 10 млн. долл., поскольку пользователи гадали, были ли заморожены средства.

Расследование показало, что, вопреки распространенному мнению, Binance действительно может замораживать адреса частных кошельков на BNB Chain при условии согласия всех валидаторов. Хотя адрес злоумышленника был в итоге заморожен Binance, это произошло спустя почти два года после совершения мошенничества. За прошедшие два года злоумышленник добровольно сохранил средства на первоначальном счете и не переводил их.

Перетяжка ковра PopcornSwap

В 2021 году PopcornSwap стала одной из первых децентрализованных бирж на только что запущенной Binance Smart Chain (BSC), которая впоследствии была переименована в BNB Smart Chain. Некоторые пользователи сети устремились на PopcornSwap, чтобы разместить ликвидность, надеясь получить прибыль от высоких объемов торгов, которые, как они ожидали, появятся на BSC. Но вместо ожидаемой рекордной доходности они потеряли все размещенные средства. PopcornSwap был развилкой PancakeSwap, которая сама была развилкой SushiSwap на Ethereum. Так получилось, что в SushiSwap была функция "preUpgrade", которая позволяла разработчикам утвердить себя в качестве расходников для каждого токена поставщика ликвидности (LP), что давало им возможность слить все активы, хранящиеся в протоколе.

В период с 13:26 до 17:53 UTC 28 января 2021 года BSC-адрес 0xFd6042Df3D74ce9959922FeC559d7995F3933c55 использовал вышеупомянутую функцию для слива криптовалюты протокола на сумму 2 млн долларов, обменяв ее на родную монету сети - BNB. Участники PopcornSwap LP потеряли все. Атака завершилась в 17:53 UTC 28 января, когда Fake_Phishing7 инициировал последнюю транзакцию, обменяв 250 913 USD Coin (USDC), размещенных на Binance, на 5536 BNB. В результате мошенник получил на свой адрес около 48 511 BNB, которые на тот момент стоили 2 млн. долларов США (и 10,8 млн. долларов США сейчас).

Средства PopcornSwap остаются неизменными уже более двух лет. Источник: BSC Scan
Средства PopcornSwap остаются неизменными уже более двух лет. Источник: BSC Scan

Пострадавшие просят Binance о помощи

В связи с этим пострадавшие создали Telegram-группу PopcornRugPull. Они призывали друг друга связаться с Binance и сообщить о мошенничестве, попросив Binance заморозить адрес мошенника до обналичивания средств. Некоторые пользователи считали, что Binance может заморозить адрес личного кошелька мошенника. Другие утверждали, что это невозможно, так как централизованная биржа не может заморозить адрес частного кошелька.

Жертва Popcornswap призывает других сообщать о фактах мошенничества. Источник: Telegram.
Жертва Popcornswap призывает других сообщать о фактах мошенничества. Источник: Telegram.

Биржа принимает меры

29 января 2021 года Binance ответила одному из пострадавших от PopcornSwap. Пользователь, называющий себя "Richie", разместил изображение полученного им электронного письма. В нем сотрудник службы поддержки Binance ошибочно указал, что "кошелек мошенника был заморожен". Сотрудник службы поддержки призвал Ричи и всех пользователей PopcornSwap набраться терпения, "пока вся ситуация не будет разрешена властями".

Подпись: Представитель службы поддержки Binance в начале 2021 года сообщил, что адрес мошенника Popcornswap заморожен. Источник: Telegram.
Подпись: Представитель службы поддержки Binance в начале 2021 года сообщил, что адрес мошенника Popcornswap заморожен. Источник: Telegram.

Однако к октябрю 2022 г. похищенные средства так и не были перемещены, а все попытки добиться ответа от службы поддержки сводились к отправке писем с просьбой обратиться в полицию. Жертвы PopcornSwap были обескуражены тем, что биржа, казалось бы, бездушно реагирует на просьбы пользователей о возмещении средств. Однако данные blockchain показывают, что на момент подачи этих жалоб Binance не обладала похищенными средствами и не была связана с организацией, похитившей деньги пользователей.

Вопреки заявлению представителя службы поддержки Binance, данные BNB Smart Chain показывают, что адрес мошенника не был заморожен до 6 октября 2022 года. Напротив, средства остались на счете злоумышленника и не были выведены ни на централизованную биржу, ни на мост в другую сеть. Мошенник не смог обналичить похищенные средства и не получил прибыли от атаки. Но эта неудача была связана с безынициативностью самого мошенника, а не с какими-либо действиями по замораживанию со стороны Binance.

Замораживание 6 октября 2022 года

6 октября 2022 года в результате атаки, совершенно не связанной с мошенничеством PopcornSwap, мост BSC Token Hub был взломан на сумму более 570 млн. долл. Эксплуататор использовал лазейку в коде моста, чтобы выпустить 2 млн. BNB на Smart Chain без предварительного размещения их на стороне моста Beacon Chain. Это означало, что общее предложение BNB на BSC увеличилось на 2 млн.

Злоумышленник сразу же перевел эксплуатируемый BNB на сумму 100 млн. долл. в другие сети, фактически сделав эти средства недоступными для валидаторов BSC. В ответ на это разработчики BSC предложили жесткий форк сети, который позволил бы отключить мост и заморозить адрес эксплуатанта. При разработке этого предложения команда также включила в код строку, замораживающую адрес мошенника PopcornSwap.

Эта модернизация была единогласно одобрена всеми валидаторами BNB Chain. В результате оба адреса - и мостового эксплуатанта, и мошенника PopcornSwap - получили запрет на проведение исходящих транзакций после 6 октября 2022 года. Однако новое предложение не включало в себя код перевода замороженных средств на другой адрес. По мнению пострадавших, Binance могла бы сделать больше для смягчения последствий инцидента.

11/ В качестве положительного момента стоит отметить, что Binance все же заморозила кошелек и BNB при значительном взломе, что является позитивным шагом. Однако последующее молчание и отсутствие связи в отношении замороженного BNB вызывают опасения. Мы заслуживаем ответов.

- neonmatrixbox (@neonmatrixbox) 26 июня 2023 г.

Binance отвечает

В беседе с Cointelegraph 31 августа представитель Binance подтвердил, что предложение о замораживании адреса 0xFd6042Df3D74ce9959922FeC559d7995F3933c55 от 6 октября 2022 года, также известного как "Fake_Phishing7", было сделано Binance. Представитель компании также подтвердил, что это всего лишь предложение, которое не может быть реализовано без согласия валидаторов. В данном случае предложение было единогласно принято всеми валидаторами сети. Они заявили:

"По просьбе жертв PopcornSwap компания Binance предложила внести адрес злоумышленника в черный список наряду с адресом злоумышленника BNB Bridge в октябре 2022 года, что было представлено командой BNB Chain и одобрено валидаторами сети."

Binance также подтвердила, в соответствии с данными blockchain, что эти средства никогда не переходили во владение Binance. "Мы можем подтвердить, что мошенник не переводил средства на Binance, и мы не имеем контроля над этими средствами", - заявили они. "BNB Chain - это децентрализованная экосистема с открытым исходным кодом; кошельки и/или средства на них не могут быть заморожены по собственному желанию, [а] управленческие решения координируются сообществом".

Binance заявила, что расследование не закрыто и что биржа готова сотрудничать с полицией, если сможет оказать ей помощь. "Это дело остается в стадии расследования, и наша следственная группа всегда готова оказать поддержку правоохранительным органам в поисках виновных", - заявила она.

Мошенничество Pocornswap: поучительная история

Жертвы мошенничества PopcornSwap потеряли в результате этого более 2 млн. долларов своих с трудом заработанных денег. Видя, что Binance является разработчиком умной цепи BNB, они обратились к ней за помощью. Биржа отказалась помочь, сославшись на децентрализованный характер блокчейн. Однако впоследствии Binance изменила курс и заморозила частный адрес мошенников с согласия валидаторов BNB Chain.

Афера с PopcornSwap также служит предостережением о рисках, связанных с использованием смарт-контрактов. Если смарт-контракт содержит лазейку, позволяющую злоумышленнику вывести средства пользователей, то после завершения атаки жертвам придется нелегко, так как для реализации форков блокчейна необходимо единогласное согласие валидаторов. Такова природа блокчейн. Кроме того, следует учитывать, что, несмотря на децентрализованность, организации при желании могут осуществлять контроль над активами пользователей.

Редактор Cointelegraph Чжиюань Сунь внес свой вклад в эту статью.

Источник