X-Spieler Opfer eines 717.000-Dollar-Angriffs, ähnlich wie bei PGNLZ

Die Angriffswelle in der Kryptowährungswelt hält an, und dieses Mal ist das X Player -Projekt betroffen. Laut einem Bericht von CertiK Alert entdeckte das Überwachungssystem eine Schwachstelle im Token-Verbrennungsmechanismus des Smart Contracts, die ein Angreifer ausnutzte, um rund 717.000 US-Dollar zu stehlen. Der Angriff erfolgte auf der BNB Chain-Blockchain, und der Täter erlangte durch Manipulation von Liquiditätspools Zugriff auf die Gelder.

Die Details des Vorfalls zeigen, dass der Angreifer die DynamicBurnPool-Funktion ausnutzte, deren Zugriff (Inhaber, Staking-, Node-Share-Adressen und Marketing) eingeschränkt war. Aufgrund eines Implementierungsfehlers ermöglichte der Angriff jedoch die Aktualisierung und Synchronisierung des Token-Paares, was zu einem Abfluss der Gelder führte. Im bereitgestellten Code ist eine Bedingung mit einer msg.sender-Prüfung sichtbar. Wie Analysten jedoch feststellen, entstanden dadurch mehrere Schwachstellen, die es ermöglichten, den gesamten LP-Pool zu leeren. Die Angriffstransaktion ist auf CertiK Skylens protokolliert.

Dieser Exploit weist auffällige Ähnlichkeiten zum kürzlichen PGNLZ-Hack auf der BNB Chain auf, bei dem der Angreifer eine „Burn Pair“ -Schwachstelle ausnutzte, doppelte Reverse-Transaktionen durchführte und etwa 100.000 US-Dollar stahl. Im PGNLZ-Fall entzog der Angreifer zunächst Token und manipulierte anschließend den PGNLP-Preis, um USDT aus dem Liquiditätspool zu extrahieren. Analysten von CertiK stellen fest, dass der Angreifer bei X Player Ähnlichkeiten mit dem PGNLZ-Angreifer aufweist, was auf denselben Hacker oder eine ähnliche Vorgehensweise hindeuten könnte.

Weitere Analysen aus der Community, beispielsweise von Wesley Wang und n0b0dy, weisen auf die Nutzung von Flash-Krediten zur Preismanipulation in einzelnen Transaktionen hin, was zu erheblichen Verlusten von bis zu 964.600 USDT (nach einigen Schätzungen) führen kann. Kritiker weisen auf Probleme mit der Zugriffskontrolle hin: Vier potenzielle Fehlerquellen in einer Funktion, die den gesamten Pool leeren kann, stellen einen gravierenden Fehler dar. Dies unterstreicht die Notwendigkeit gründlicher Smart-Contract-Audits, insbesondere in DeFi-Projekten.

Im breiteren Marktkontext verdeutlichen solche Vorfälle die Risiken im BNB-Chain-Ökosystem, wo ähnliche Schwachstellen durch das Vernichten von Paaren bereits ausgenutzt wurden. CertiK empfiehlt Entwicklern, externe Orakel zu verwenden und die Prüfungen zu verstärken, um ähnliche Angriffe künftig zu verhindern. Anleger sollten Verträge stets prüfen und verdächtige Transaktionen meiden.