Meme Coin 项目 SafeMoon Rekt 因公开烧毁漏洞以 900 万美元的价格被撤回

当黑客抢先一步时会发生什么？

就在 SafeMoon 升级其智能合约三个小时后，一名攻击者发现并利用了代码中的一个错误，导致memecoin的流动资金池损失了大约 890 万美元。

然而，在一个独特的事件转折中，最初利用该漏洞的攻击者随后迅速被另一个地址抢跑。

领跑者随后向 SafeMoon 的部署者合约发送消息以开始谈判：“嘿放松，我们不小心对你发起了攻击，我们想退还资金，建立安全的沟通渠道，让我们谈谈。”

领跑者现在在一个单独的钱包中持有近 866 万美元。

抢先交易是指加密地址在区块链上识别出待定的有利可图的交易或交易，例如此漏洞，然后支付非常高的汽油费以在原始交易之前执行相同的交易或交易。

领先者后来在给 SafeMoon 的交易中写道，“让我们讨论细节，请从包含您的电子邮件地址的相同地址发送消息，并通过电子邮件与我们联系：[已编辑]。”

SafeMoon 没有立即回应 Decrypt 的置评请求。

解压 SafeMoon 漏洞

尽管领跑者似乎想要将资金返还给 SafeMoon 团队，但真正令人担忧的是漏洞利用如何设法进入智能合约。

PeckShield 的一位发言人通过 Telegram 告诉 Decrypt：“一个公开的销毁漏洞意味着黑客可以调用函数来销毁池中的流动性，然后换取剩余的 WBNB。” WBNB 是Binance原生交易所代币 BNB的封装版本，可以更轻松地与原生 BNB Chain 应用进行交互。

“黑客基本上一开始就购买了 SFM [SafeMoon]，接下来利用 public mint bug 来提高 SFM 的价格，然后以超过 890 万美元的利润出售 SFM，”该发言人说。

“这是一个微不足道的错误，真的没什么特别的。[...]而且它根本不应该出现在升级中。” PeckShield 发言人说，“[很可能]这次升级没有经过审计。”

一位 Twitter 用户声称，他们在查看 SafeMoon 的智能合约两分钟后能够识别出该漏洞。

“特定错误的根本原因是缺乏对仅供特权使用的功能的适当访问控制。” Immunefi 的智能合约工程师 Gonçalo Magalhães 告诉 Decrypt。“这是一个常见的安全漏洞，通常在智能合约的审计阶段被发现。”

这意味着在流动资金池 (WBNB-SFM) 中持有代币的人有失去代币的风险。一位 Twitter 用户声称他们损失了 400 万 SFM，截至发稿时约合 800 美元。

至于 SafeMoon 团队，其首席执行官 John Karony表示，他们聘请了一位链取证顾问，他找到了问题，据报道已经解决了问题。

“用户应该确信他们的代币是安全的。因为我们的技术具有灵活性，我们相信我们能够解决这个问题，”他说。

编者按：这篇文章于 2023 年 3 月 29 日美国东部时间中午 12 点更新，以反映该问题是一个公开的 burn 错误，而不是一个公开的 mint 错误。