Super Sushi Samurai, un gioco blockchain originario della soluzione layer-2 Blast, è stato sfruttato ore prima del lancio del suo tanto atteso prodotto di gioco.
L'exploit, secondo quanto riferito, orchestrato da un hacker white hat, ha comportato una perdita di 4,6 milioni di dollari a causa di un bug nel codice del contratto intelligente.
Sfruttato il bug del contratto intelligente
Secondo un annuncio del team di Super Sushi Samurai, l'exploit era dovuto a un bug nel codice del contratto intelligente, che consentiva a una persona non autorizzata di avviare una funzione di conio infinita. Ciò ha comportato la creazione di un numero eccessivo di token che sono stati successivamente venduti nel pool di liquidità.
Siamo stati sfruttati, è una questione di menta. Stiamo ancora esaminando il codice. I gettoni furono coniati e venduti nell'LP.
Transazione: https://t.co/F4XeqdyJu2i fondi sfruttati sono in questo portafoglio: https://t.co/NWeTu5vMkj
—Super Sushi Samurai | SSS (@SSS_HQ) 21 marzo 2024
CertiK, una società di sicurezza on-chain, ha confermato la portata dell'exploit, affermando che sono stati colpiti token per un valore di 4,6 milioni di dollari. Secondo i dati di CoinGecko, l'exploit ha portato a uno slittamento del valore del token del 99% a seguito di un token dump non autorizzato. L'aggressore è riuscito a ottenere 1310 ETH dalla principale liquidità del token sfruttando la vulnerabilità dello smart contract.
Le indagini sull'incidente hanno rivelato che una parte non autorizzata ha acquisito 690 milioni di token SSS e ha avviato una serie di transazioni attraverso un contratto di attacco progettato a tale scopo.
Il @SSS_HQ $SSS LP è stato appena prosciugato perché il loro contratto token ha un bug in cui il trasferimento dell'intero saldo a te stesso lo raddoppia.
L'ordine delle operazioni diminuisce il saldo per "da" e quindi imposta il saldo per "a" – se questi sono lo stesso indirizzo, il… pic.twitter.com/RStMcFH3sy
– Caffè
(@coffeexcoin) 21 marzo 2024
Sfruttando una vulnerabilità all'interno della funzione di aggiornamento della piattaforma, l'hacker ha duplicato per 25 volte i token in suo possesso, gonfiandone la quantità fino a 11,5 trilioni, che è stata poi scambiata per circa 1.310 ETH.
Sforzi di recupero
In seguito alla violazione, Super Sushi Samurai si è impegnato attivamente con la sua comunità, fornendo aggiornamenti e garanzie attraverso il suo canale Telegram ufficiale e altre piattaforme di social media.
In un post X, hanno rivelato che l'exploit è stato condotto da un hacker white hat che è attualmente in comunicazione con il loro team. Il messaggio dell'hacker, visibile su Blastscan, indicava che si trattava di una missione di salvataggio e che erano in corso piani per rimborsare gli utenti colpiti.
Hanno inoltre rivelato l'indirizzo contenente i fondi compromessi per facilitare il tracciamento e il potenziale recupero dei beni perduti e che stanno lavorando con l'hacker dal cappello bianco per garantire la restituzione sicura dei fondi.
1. Autopsia:
Il contratto token presenta un bug in cui il trasferimento dell'intero saldo a te stesso lo raddoppia. h/t @coffeexcoin2. Dettagli del danno:
eth totale in pool prima dell'exploit: 1339,50 ETH
Whitehat: 1.310,04 ETH
Cappello nero: 40,28 ETH
rimuoviamo LP e otteniamo: 29.09 ETH3. Aggiornamento:…
—Super Sushi Samurai | SSS (@SSS_HQ) 22 marzo 2024
Nel frattempo, un aggiornamento “post mortem” di Super Sushi Samurai delinea l’entità del danno, con trattative in corso per raggiungere una soluzione che tuteli sia gli utenti che l’hacker white hat coinvolto nell’incidente.
Il post Questo gioco Blockchain è stato sfruttato per 4,6 milioni di dollari subito prima del suo lancio è apparso per la prima volta su CryptoPotato .