Un atacante drenó más de USD 1,400,000 en Bows Coin Synthetic US Dollar (BSC-USD) de un pool de liquidez que contenía tokens CUT el 10 de septiembre, según un informe de la plataforma de seguridad blockchain Certik. El contrato del token CUT dependía de un contrato separado y no verificado para establecer su parámetro de "rendimiento futuro", y este contrato separado fue utilizado para drenar el BSC-USD mediante un método desconocido.

CertiK reportó el evento en X.

Fuente: Certik.

El token CUT que fue explotado está ubicado en una dirección que termina en 36a7 en Binance Smart Chain y es diferente del proyecto Crypto Unity, que tiene el mismo símbolo pero una dirección diferente. El pool que fue drenado era parte del exchange Pancakeswap. No se ha reportado que otros pools de Pancakeswap hayan sido afectados.

Los datos de la blockchain muestran que el atacante realizó cuatro transacciones separadas drenando el pool de BSC-USD. El monto total retirado fue de USD 1,448,974.

Transacciones del exploit de CUT. Fuente: BSCScan.

El atacante no había realizado depósitos previos en el pool y no poseía tokens de proveedor de liquidez, lo que hace improbable que la transacción fuera un retiro legítimo.

En cada transacción, el atacante llamó a una función llamada “0x7a50b2b8.” Sin embargo, esta no existe en el contrato del token. Según el informe, esto implica que el atacante debió haber llamado a ILPFutureYieldContract(), lo que permite al usuario ejecutar una función separada en un contrato completamente diferente cuya dirección termina en 1154. Este contrato separado no está verificado, y BSC Scan muestra solo un bytecode ilegible para él.

Contrato separado usado en el exploit de CUT. Fuente: BSCSCan.

Cointelegraph no pudo encontrar ningún sitio web de marketing o cuenta de Twitter que promocionara CUT, y los inversionistas podrían haberlo confundido con el proyecto Crypto Unity, que no está relacionado.

Los exploits son una forma común en que los usuarios de Web3 pierden fondos. El 3 de septiembre, más de USD 25,000,000 en criptomonedas fueron perdidos por un exploit del protocolo de finanzas descentralizadas Penpie. El 6 de agosto, el puente de la red de juegos Ronin fue drenado por USD 10,000,000 después de que un atacante se aprovechara de un script de despliegue defectuoso. En este caso, los proveedores de liquidez de CUT son colectivamente USD 1,400,000 más pobres debido al exploit.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión