攻击者通过未经验证的神秘合同从 CUT 代币池中盗取 140 万美元

据区块链安全平台Certik的一份报告称，9月10日，一名攻击者从一个持有CUT代币的流动性池中抽走了价值140多万美元的鲍斯币合成美元（BSC-USD）。CUT代币合约依赖于一个未经验证的独立合约来设置其 "未来收益率 "参数，而这个独立合约被用来通过一种未知的方法耗尽BSC-USD。

CertiK 在 X 上报告了这一事件。

被利用的 CUT 代币位于 Binance 智能链上以 36a7 结尾的地址，与 Crypto Unity 项目是分开的，后者的股票代码相同，但地址不同。被榨干的矿池是 Pancakeswap 交易所的一部分。据报道，没有其他 Pancakeswap 池受到影响。

区块链数据显示，攻击者进行了四次独立交易，耗尽了 BSC-USD 的资金池。移除的总金额为 1,448,974 美元。

攻击者之前并未向该池存入任何资金，也未拥有该池的任何流动性提供者代币，因此该交易不太可能是合法提现。

相关： Penpie DeFi 协议 2,700 万美元加密货币被盗后，黑客受到表扬

在每笔交易中，攻击者都调用了一个名为 "0x7a50b2b8 "的函数。但这个函数并不存在于代币合约中。报告称，这意味着攻击者一定调用了 ILPFutureYieldContract()，它允许用户在一个地址以 1154 结尾的完全不同的合约上调用一个单独的函数。该独立合约未经验证，BSC 扫描仅显示了无法读取的字节码。

Cointelegraph 无法找到任何推广 CUT 的营销网站或 Twitter 账户，投资者可能将其与无关的 Crypto Unity 项目混淆了。

杂志： 两名审计员漏掉了价值 2700 万美元的 Penpie 漏洞和 Pythia 的 "索取奖励 "漏洞：加密安全

漏洞是 Web3 用户损失资金的常见方式。9 月 3 日，Penpie 去中心化金融协议漏洞导致价值超过 2500 万美元的加密货币丢失。8 月 6 日，Ronin 游戏网络的桥接器被攻击者利用了一个错误的部署脚本，损失了 1,000 万美元。在这种情况下，CUT 清偿提供商因该漏洞共损失 140 万美元。