Команда подтвердила, что смарт-контракт мемкоина Based Doge (BOGE) в сети Base был взломан 27 мая. Команда заявила, что атака была «такой же, как у Normie», подразумевая, что злоумышленник воспользовался уязвимостью, аналогичной той, которая вызвала недавний эксплоит Normie.
Команда сообщила об атаке на X, заявив:
«С сожалением сообщаем вам, что BOGE недавно был скомпрометирован в результате хакерского инцидента (так же, как и Normie)».
Источник: BOGE на Based.
Normie был атакован 26 мая, за день до атаки Base Doge.
Based Doge — это проект мемкоина, вдохновленный мемом Doge. Компания выпустила видеоигру Web3 под названием «FlappyBoge» и планирует выпустить коллекцию невзаимозаменяемых токенов.
Согласно сообщению, команда сделает снимок текущих балансов токенов и перезапустит проект, чтобы все жертвы атаки получили компенсацию.
Данные блокчейна показывают, что 27 мая в 17:48 по всемирному скоординированному времени учетная запись, оканчивающаяся на bAOC, инициировала более 120 транзакций на Base. В результате каждой транзакции на счет были переведены сотни тысяч BOGE, на общую сумму около 91,4 миллиона BOGE.
Истощение BOGE эксплоитом. Источник: Basescan.
В рамках каждой транзакции злоумышленник вызывал непроверенную функцию смарт-контракта, расположенного по адресу, заканчивающемуся на 1a42. Поскольку контракт не проверен, код этой функции не читается человеком.
Сразу после получения этих 91,4 миллиона BOGE злоумышленник обменял их примерно на 4,47 ETH, что на тот момент стоило примерно 16 926 долларов.
Хотя сумма, полученная злоумышленником, была небольшой, влияние на цену BOGE было гораздо большим. По данным CoinMarketCap, до атаки цена BOGE составляла 0,002983 доллара, а общий объем выпуска монеты составлял 1 миллиард. Это подразумевало рыночную капитализацию примерно в 2,9 миллиона долларов.
Когда произошла атака, цена упала до 0,000072, а это означает, что 1 миллиард монет, существовавших до атаки, потеряли в стоимости более 2,8 миллиона долларов.
Согласно анализу, опубликованному страховой компанией Web3 Neptune Mutual, предыдущая атака Normie была вызвана ошибочной функцией get_premarket_user. Эта функция позволяла пользователю создавать новые токены, если он был пользователем премаркета или имел тот же баланс, что и кошелек развертывателя. Злоумышленник торговал токенами до тех пор, пока его баланс не достигал баланса, равного кошельку развертывателя, что позволяло ему стать «привилегированным пользователем», которому было разрешено чеканить новые токены.
Получив полномочия по выпуску монет, он выпустил более 170 000 токенов Normie и выбросил их на рынок, что привело к убыткам на сумму более 800 000 долларов.
Эксплоиты смарт-контрактов продолжают представлять риски для пользователей криптовалюты. 17 мая злоумышленник похитил 20 миллионов долларов из протокола DeFi Sonne Finance. В тот же день бывший сотрудник мемкоин-платформы Solana Pump.fun якобы подверг протокол эксплоиту, используя привилегированный доступ. Предполагаемый нападавший заявил, что был арестован полицией Великобритании в связи с инцидентом.