- LeetSwap a été exploité, entraînant une perte de 624 300 dollars, a confirmé l’alerte de CertiK.
- L’exploiteur a manipulé le prix par le biais de fonctions contractuelles LP vulnérables, ce qui a provoqué l’attaque, selon les entreprises de sécurité.
- Igor Igamberdiev, de Wintermute, a expliqué les détails de l’exploit, appelant à la confidentialité des fonctions.
Opérant sur le réseau de base de Coinbase, l’échange décentralisé LeetSwap aurait été exploité, entraînant une perte d’environ 342,5 ETH, soit plus ou moins 626 000 dollars. Selon CertiK Alert, l’attaquant a manipulé le prix en invoquant une fonction vulnérable du contrat Liquidity Provider (LP), en transférant des jetons à une adresse payante, puis en achetant sans effort tous les jetons WETH.
Igor Igamberdiev, responsable de la recherche chez Wintermute, a expliqué en détail comment l’exploiteur est parvenu à manipuler le prix sans effort. Tout d’abord, ils ont procédé à un petit échange de WETH contre des jetons X, en veillant à ce que des frais soient encourus lors de la transaction. Ensuite, ils ont utilisé une fonction de contact intelligent exposée pour transférer les jetons acquis vers un contrat d’honoraires.
Pour garder le contrôle, l’exploiteur a ensuite appelé la fonction sync(), synchronisant le contrat LP. Enfin, ils ont échangé les jetons acquis contre la totalité des WETH disponibles dans le pool.
Dans son tweet, Igamberdiev note que la fonction (_transferFeesSupportingTaxTokens) n’aurait pas dû être rendue publique en premier lieu. En outre, les entreprises de sécurité de la blockchain, notamment PeckShield, Beosin Alert et BlockSec, ont appuyé la théorie d’Igamberdiev sur l’attaque.
LeetSwap a été le premier à publier un tweet faisant état d’une compromission potentielle dans certains de ses pools de liquidités. Par mesure de précaution, ils ont temporairement interrompu les transactions afin de mener une enquête approfondie sur la question.
Dans une mise à jour ultérieure, la bourse a informé ses utilisateurs qu’elle collaborait avec des experts en sécurité de la chaîne pour tenter de rétablir l’accès aux liquidités bloquées. La situation reste sous étroite surveillance, la bourse s’efforçant de résoudre le problème et de sauvegarder les actifs de ses utilisateurs.
Environ une heure et demie après, LeetSwap a informé les utilisateurs de l’arrêt des transactions tout en annonçant qu’il collaborait activement avec des experts en sécurité afin d’explorer les solutions possibles pour récupérer les liquidités bloquées sur leur plateforme.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.