In der Binance Smart Chain werden weiterhin einige der darauf aufbauenden Projekte ausgenutzt. Das letzte wurde von jemandem gemacht, der Zugriff auf die PancakeSwap-Administratoradresse hatte.
Der Exploit
Es ist ein uraltes Problem mit intelligenten Verträgen: Zufälligkeit. Die Solidität hat keine native Zufallsfunktion, und alle Zufallsquellen müssen in der Kette liegen. Projekte verwenden Dinge wie Blockheader, Transaktions-Hashes und mehr, um legitime Zufallsquellen zu erstellen, aber keine ist wirklich zufällig - sie sind lediglich pseudozufällig.
Dieses Problem hat in der Vergangenheit zu Exploits geführt, beispielsweise zum jüngsten Meebits-Exploit. Die PancakeSwap-Lotterienummern wurden basierend auf bestimmten vorhersehbaren Bedingungen generiert. Der Exploiter könnte diese Informationen verwenden, um die Zahlen im Voraus vorherzusagen und so den gesamten Pool zu entleeren.
Wer hat es getan und warum?
Der Autor dieses Beitrags hat detaillierte Beweise dafür geliefert, dass dies tatsächlich ein Foul der PancakeSwap-Administratoren gewesen sein könnte, da sie den Vertrag erstellt, den Exploit "gefunden" und das Geld unter Verwendung ihrer eigenen Adresse genommen haben.
Zwar hat das Administratorkonto den Exploit genutzt und die Gelder aufgebraucht, aber der Autor hat ein Missverständnis: Dies war kein Foulspiel, und die Gelder wurden nicht gestohlen. Obwohl das PancakeSwap-Team keine offizielle Erklärung zu diesem Thema abgegeben hat, war dieses Ereignis eindeutig eine White-Hat-Entfernung von Geldern aus dem Vertrag, die einen böswilligen Schauspieler daran hinderte, den Fehler herauszufinden und ihn auszunutzen.
Dies ist vor allem daran zu erkennen, dass die PancakeSwap-Administratoren ihre öffentlich bekannte Adresse zur Durchführung des Exploits verwendet haben. Wenn sie das Geld böswillig abfließen lassen wollten, hätten sie ein anonymes Konto verwendet. Zweitens werden die aus dem Lotteriepool zurückgeforderten Gelder von der Administratoradresse stapelweise verbrannt.
Während ein Exploit beängstigend und niemals ein gutes Zeichen ist, vermittelt die Behandlung durch das Team ein gewisses Vertrauen und beweist, dass PancakeSwap bereit ist, Probleme bei Bedarf zu beheben (obwohl sie den moralisch verwerflichen Weg durch den Diebstahl von Benutzergeldern trivial eingeschlagen haben könnten).
.
Artikel in englischer Sprache auf invezz.com.
