X-spiller ramt af $717K angreb svarende til PGNLZ

Bølgen af angreb i kryptovalutaverdenen fortsætter, og denne gang er offeret X Player- projektet. Ifølge en rapport fra CertiK Alert opdagede overvågningssystemet en sårbarhed i kontraktens token-brændingsmekanisme, som en angriber brugte til at stjæle cirka 717.000 dollars. Angrebet fandt sted på BNB Chain-blockchainen, og gerningsmanden fik adgang til midler gennem manipulation af likviditetspuljer.

Detaljer om hændelsen afslører, at angriberen udnyttede DynamicBurnPool-funktionen, som havde begrænset adgang (ejer, staking, node share-adresser og marketing). På grund af en implementeringsfejl tillod angrebet dog opdatering og synkronisering af token-parret, hvilket førte til et kapitaldræn. I den angivne kode er en "require"-betingelse med msg.sender check synlig, men som analytikere bemærker, skabte dette flere fejlpunkter, hvilket gjorde det muligt for hele LP-puljen at blive drænet. Angrebstransaktionen er registreret på CertiK Skylens:

Denne udnyttelse har slående ligheder med det nylige PGNLZ-hack på BNB Chain, hvor angriberen udnyttede en "burn pair" -sårbarhed, udførte dobbelte reverse-transaktioner og stjal omkring $100.000. I PGNLZ-tilfældet drænede angriberen først tokens og manipulerede derefter PGNLP-prisen og udtrak USDT fra likviditetspuljen. CertiK-analytikere bemærker, at X Player-angriberen viser ligheder med PGNLZ-udnytteren, hvilket kan indikere den samme hacker eller en lignende metode.

Yderligere fællesskabsanalyser, såsom fra Wesley Wang og n0b0dy, peger på brugen af flash-lån til prismanipulation i en enkelt transaktion, hvilket fører til større tab, op til $964.600 USDT ifølge nogle estimater. Kritikere fremhæver problemer med adgangskontrol: fire potentielle fejlpunkter i en funktion, der kan dræne puljen, er en "vild" fejltagelse. Dette understreger behovet for grundige smarte kontraktrevisioner, især i DeFi-projekter.

I den bredere markedskontekst minder sådanne hændelser os om risiciene i BNB Chain-økosystemet, hvor lignende "burn pair" -sårbarheder allerede er blevet udnyttet. CertiK råder udviklere til at bruge eksterne orakler og styrke kontrollen for at undgå lignende angreb i fremtiden. For investorer: verificér altid kontrakter og undgå mistænkelige transaktioner.