Um contrato inicial da exchange descentralizada Bscex, criada para facilitar a negociação de tokens na rede BNB Chain, tem uma vulnerabilidade que ficou “esquecida” por anos a fio no seu código e que agora coloca em risco fundos de mais de 34 mil endereços de investidores.
O perfil do Twitter Scam Sniffer fez o alerta na noite de domingo (26) após perceber que US$ 7 milhões já haviam sido roubados de carteiras por um invasor que explorou a brecha em questão.
“Uma vítima relatou que teve seu BUSD roubado através de um contrato SwapX autorizado (0x2658…) mais de 700 dias atrás. O invasor usou o SwapX para negociar os fundos dos usuários por tokens de baixo valor ou wash trade”, escreveu o Scam Sniffer no Twitter.
🚨 #LaunchZone #BSCex Security Alert 🚨
— Scam Sniffer (@realScamSniffer) March 27, 2023
🔓 Over $7M exploited through SwapX contract vulnerability
🏦 34,000+ addresses at risk – Check & revoke ASAP!
🔍 More details & data:https://t.co/uel6QiOkg6
Antigas permissões
Através da plataforma Dune, os investigadores calcularam o impacto da vulnerabilidade que afeta os usuários que concederam permissões ao contrato inteligente há cerca de dois ou três anos.
No total, são 34.065 carteiras de criptomoedas da BNB Chain que interagiram com o contrato SwapX da BScex no passado e que estão com seus fundos em risco atualmente.
Yu Xian, o criador da empresa de segurança blockchain SlowMist, também comentou sobre esse incidente no Twitter: “Dois a três anos atrás, havia uma brecha em um projeto de autorização de endereço de carteira. Muitos usuários não cancelaram a autorização. Os hackers monitoram constantemente esses endereços de carteira com exposição ao risco de autorização e roubam fundos assim que encontram fundos.”
O Scam Sniffer alerta que o principal invasor que está explorando essa vulnerabilidade continua ativo e recomenda que usuários ajam para remover qualquer permissão concedida ao contrato com a falha.
A carteira de criptomoedas Rabby Wallet sinalizou todos os contratos comprometidos para que os usuários possam verificar se foram afetados. “Se você vir o aviso, revogue a aprovação o mais rápido possível”, recomendou.
- Não perca dinheiro. No Mercado Bitcoin, você pode fazer staking de Ethereum de maneira segura e simples. Abra sua conta agora e comece a ganhar recompensas sobre seus investimentos em criptomoedas