L'exchange decentralizzato LeetSwap, che opera sulla rete Base di Coinbase, ha annunciato una pausa nel trading a causa dei timori di un potenziale exploit.
Il 1° Agosto LeetSwap ha twittato di aver rilevato che alcuni dei suoi liquidity pool potrebbero essere stati compromessi e ha temporaneamente interrotto il trading per indagare. Nell'aggiornamento successivo, l'exchange ha dichiarato che sta collaborando con esperti di security on-chain per cercare di recuperare la liquidità bloccata.
Poiché il nostro DEX è un fork di Solidly, la nostra factory aveva una funzione di "security pause".
Abbiamo rilevato che la liquidità di alcune pool potrebbe essere stata compromessa e abbiamo temporaneamente interrotto il trading per indagare.
— LeetSwap (@LeetSwap) August 1, 2023
As our DEX is forked from Solidly, our factory had a security pause function.
— LeetSwap (@LeetSwap) August 1, 2023
We noticed that some pool liquidity might have been compromised and we temporarily stopped the trading to investigate.
Sebbene l'exchange non abbia condiviso molti dettagli, alcuni investigatori blockchain hanno fornito diversi pareri sul modo in cui l'exploit ha probabilmente avuto luogo.
Igor Igamberdiev, responsabile della ricerca presso il market maker algoritmico Wintermute, ritiene che l'aggressore abbia utilizzato una funzione di smart contract esposta, che gli ha permesso di aumentare il prezzo di un token, consentendogli così di drenare Ether (ETH) wrappati dalle liquidity pool di LeetSwap.
È stato facile:- swap un po' di WETH per X token ( dovrebbero esserci delle fee)
- call
_transferFeesSupportingTaxTokens(address, uint256) per spostare il token in un contratto Fees
- call sync()
- swap X tokens per tutti i WETH del poolNon credo che questa funzione dovrebbe essere pubblica.— Igor Igamberdiev (@FrankResearcher) August 1, 2023
It was easy:
— Igor Igamberdiev (@FrankResearcher) August 1, 2023
- swap a bit of WETH for X tokens (should have fees)
- call _transferFeesSupportingTaxTokens(address, uint256) to move token to a Fees contract
- call sync()
- swap X tokens for all WETH from the pool
Don't think that this function should be public
GG WP pic.twitter.com/a7vXvWf0HY
Igamberdiev ha aggiunto che il potenziale exploit sembra aver fruttato all'attaccante 342,5 ETH, per un valore di oltre 630.000 $.
Diverse società di sicurezza blockchain, tra cui PeckShield, Beosin, BlockSec e CertiK, hanno confermato la teoria di Igamberdiev e l'importo dell'exploit.
Nell'aggiornamento di LeetSwap, circa un'ora e mezza dopo la notifica dell'interruzione del trading, l'exchange ha dichiarato che sta lavorando con esperti di sicurezza per trovare il modo di recuperare la liquidità bloccata sulla piattaforma.
Stiamo lavorando con esperti di sicurezza on-chain per cercare di trovare il modo di recuperare la liquidità bloccata.
Se non avete bloccato la vostra liquidità, siete liberi di rimuoverla dai pool.
— LeetSwap (@LeetSwap) August 1, 2023
We are working with on-chain security experts to try and find a way to recover the locked liquidity.
— LeetSwap (@LeetSwap) August 1, 2023
If you did not lock your liquidity you are free to remove it from the pools.
Si tratta della seconda controversia legata a Base in un giorno. In precedenza, lo sviluppatore di una memecoin a tema Brian Armstrong chiamata BALD ha rimosso la liquidità per il token, facendo crollare il suo prezzo.
Il progetto è stato accusato di essere un exit scam, cosa che lo sviluppatore ha negato.
Traduzione a cura di Matteo Carrone