Пара DTXT/USDT на BNB Chain использована в атаке на смарт-контракт на $35 000

BitcoinWorld

Торговая пара DTXT/USDT на BNB Chain взломана на 35 000$ в результате атаки на смарт-контракт

По данным компании по безопасности блокчейна PeckShield, в результате нарушения безопасности на BNB Chain из пула ликвидности DTXT/USDT было похищено около 35 041$. Инцидент, направленный против уязвимости в контракте токена DTXT, подчёркивает постоянные риски в протоколах децентрализованных финансов (DeFi), особенно тех, которые используют сложную логику смарт-контрактов.

Как был осуществлён эксплойт

Анализ PeckShield показывает, что в основе эксплойта лежал дефектный механизм в контракте DTXT. Контракт определял тип транзакции — своп контрактов или добавление ликвидности — путём сравнения собственного баланса USDT с количеством USDT, внесённым в торговую пару. Злоумышленник воспользовался этим, отправив небольшое количество USDT напрямую на адрес контракта торговой пары. Эта манипуляция привела к тому, что крупный ордер на продажу токенов DTXT был ошибочно идентифицирован как добавление ликвидности, что фактически позволило обойти логику комиссии за транзакцию, которая обычно применяется к ордеру на продажу.

Для осуществления атаки злоумышленник взял флэш-кредит в размере 1 077 400 USDT из кредитного протокола Moolah. Этот капитал был использован для манипулирования состоянием пула и совершения прибыльной сделки, принёсшей прибыль около 35 000 USDT. Флэш-кредиты, позволяющие занимать средства без залога при условии их возврата в рамках одного блока транзакции, являются распространённым инструментом в эксплойтах DeFi.

Последствия для безопасности DeFi

Этот инцидент служит техническим примером того, как незначительные логические ошибки в смарт-контрактах могут быть использованы в качестве оружия. Уязвимость находилась не в основной торговой логике самой децентрализованной биржи, а в пользовательском коде контракта токена DTXT. Это подчёркивает важный момент для разработчиков: пользовательские интеграции токенов, особенно те, что используют нестандартную логику обработки комиссий или проверки баланса, требуют тщательного аудита и тестирования.

Что следует знать пользователям

Для провайдеров ликвидности в пуле DTXT/USDT это событие напрямую обернулось потерей средств. Это наглядное напоминание о том, что непостоянные потери — не единственный риск в DeFi; риск смарт-контрактов присутствует всегда. Пользователям рекомендуется проверять историю аудита и качество кода любого токен-проекта перед предоставлением ликвидности. Использование флэш-кредитов в этой атаке также подтверждает необходимость разработки протоколов, устойчивых к подобным капиталоёмким манипуляциям.

Заключение

Эксплойт на 35 000$ пула DTXT/USDT на BNB Chain является наглядным примером того, как единственная дефектная строка логики в контракте токена может привести к значительным финансовым потерям. Хотя сумма относительно невелика по сравнению с многомиллионными взломами, использованный технический метод поучителен для более широкого сообщества DeFi. Пока PeckShield продолжает отслеживать ситуацию, инцидент пополняет растущий список атак, использующих разрыв между предполагаемым поведением контракта и его фактическим исполнением.

Часто задаваемые вопросы

В1: В чём именно заключалась уязвимость в контракте DTXT?
Контракт использовал дефектный метод определения типов транзакций путём сравнения баланса USDT с депозитами пула. Это позволило злоумышленнику обмануть систему, заставив её воспринять крупный ордер на продажу как добавление ликвидности, обойдя тем самым комиссию за продажу.

В2: Как злоумышленник получил прибыль от этого эксплойта?
Злоумышленник использовал флэш-кредит на сумму более 1 миллиона USDT от Moolah для манипулирования состоянием пула. Воспользовавшись логической уязвимостью, он совершил сделку, принёсшую прибыль около 35 000 USDT.

В3: Безопасны ли средства на BNB Chain после этого инцидента?
Это была конкретная атака на контракт токена DTXT, а не уязвимость самой BNB Chain. Сеть остаётся безопасной, однако пользователям следует проявлять осторожность с любым токеном, имеющим пользовательскую или непроверенную логику смарт-контракта.

Эта публикация «Торговая пара DTXT/USDT на BNB Chain взломана на 35 000$ в результате атаки на смарт-контракт» впервые появилась на BitcoinWorld.