Нерешительность Binance заморозить кошельки BNB вызвала контроверзы в этом случае обмана на сумму $11 млн.

Нерешительность Binance заморозить кошельки BNB вызвала контроверзы из-за обмана на $11 млн.

Схема ругательства BNB Chain обманывает пользователей на 2 миллиона долларов (11 миллионов долларов по сегодняшним ценам BNB). Пользователи обращаются за помощью к Binance. Binance заявляет, что заморозила средства, но затем отзывает свое заявление. Средства находились на адресе почти два года, когда Binance внезапно предприняла действия по заморозке кошелька мошенника, который вырос до 10,8 миллиона долларов. Ранее Binance утверждала, что не может замораживать кошельки за пределами адресов биржи из-за децентрализованной природы BNB Chain. Пользователи недовольны и требуют от Binance дополнительных действий. Это история мошенничества PopcornSwap.

28 января 2021 года децентрализованная биржа PopcornSwap на Build N Build (BNB) Chain совершила выход из сети, похитив более 2 миллионов активов поставщиков ликвидности с помощью малоизвестной функции “preUpgrade”, содержащейся в смарт-контракте биржи. Пользователи надеялись, что Binance, создатель BNB Chain, сможет заморозить адрес мошенников. BNB находящиеся на счете мошенника выросли до более чем 10 миллионов долларов со времени совершения мошенничества, поскольку пользователи предполагали, были ли средства заморожены.

Расследование показывает, что вопреки общему мнению, Binance на самом деле способна замораживать личные кошельки на BNB Chain, при условии согласия всех валидаторов. Хотя адрес атакующего в конечном итоге был заморожен Binance, это произошло почти через два года после мошенничества. В течение этих двух лет атакующий добровольно хранил средства на исходном счете и не перемещал их.

Мошенничество PopcornSwap

В 2021 году PopcornSwap стал одной из первых децентрализованных бирж на только что запущенной Binance Smart Chain (BSC), которая позже была переименована в “BNB Smart Chain”. Некоторые пользователи сети стремились внести ликвидность в PopcornSwap, надеясь извлечь прибыль из ожидаемого высокого объема торговли на BSC. Но вместо ожидаемых высоких доходов они потеряли все средства, которые внесли. PopcornSwap был форком Pancakeswap, который в свою очередь был форком Sushiswap на Ethereum. И случилось так, что Sushiswap содержал функцию “preUpgrade”, которая позволяла разработчикам одобрить себя в качестве плательщиков для каждого токена поставщика ликвидности (LP), позволяя им высосать все активы, удерживаемые протоколом.

С 13:26 до 17:53 по UTC 28 января 2021 года адрес BSC 0xFd6042Df3D74ce9959922FeC559d7995F3933c55 использовал вышеупомянутую функцию, чтобы высосать 2 миллиона долларов криптовалюты протокола, обменяв все это на собственную монету сети BNB. Поставщики ликвидности PopcornSwap потеряли все. Атака закончилась в 17:53 UTC 28 января, когда Fake_Phishing7 инициировал последнюю транзакцию, обменяв 250 913 монет Binance-pedgged USD Coin (USDC) на 5 536 BNB. Это оставило мошенника с примерно 48 511 BNB, стоимостью 2 миллиона долларов на тот момент (и 10,8 миллиона долларов сейчас), удерживаемых на его адресе.

Средства PopcornSwap оставались неподвижными более двух лет. Источник: BSC Scan

Потерпевшие обращаются к Binance за помощью

После мошенничества потерпевшие создали группу PopcornRugPull в Telegram. Они призывали друг друга обратиться к Binance и сообщить о мошенничестве, просили заморозить адрес мошенников, прежде чем средства могут быть обналичены. Некоторые пользователи считали, что Binance может заморозить личный кошелек мошенника. Другие утверждали, что это невозможно, так как централизованная биржа не может заморозить личный кошелек.

Потерпевший Popcornswap призывает других сообщить о мошенничестве. Источник: Telegram.

Связано: Binance продвигает новую стейблкоин в связи с подтверждением плана прекращения поддержки BUSD

Биржа принимает меры

29 января 2021 года Binance ответила одному из жертв PopcornSwap. Пользователь, называющий себя «Ричи», опубликовал изображение электронной почты, которую он получил. В ней представитель службы поддержки Binance ошибочно заявил, что «кошелек мошенника был заморожен». Представитель службы поддержки настоял на том, чтобы Ричи и все пользователи PopcornSwap были терпеливыми «до тех пор, пока вся ситуация не будет разрешена компетентными органами».

Подпись: Представитель службы поддержки Binance заявляет в начале 2021 года, что адрес мошенника Popcornswap был заморожен. Источник: Telegram.

Однако к октябрю 2022 года похищенные средства оставались нетронутыми, и все попытки получить ответ от службы поддержки приводили к автоматическим сообщениям с просьбой обратиться в полицию. Потерпевшие от PopcornSwap были озадачены на вид кажущимся безразличным отношением биржи к запросам пользователей о возмещении ущерба. Однако данные блокчейна показывают, что на момент этих жалоб Binance не имела в своем распоряжении похищенные средства, и не имела связи с тем, кто украл деньги пользователей.

Вопреки заявлению представителя службы поддержки Binance, данные сети BNB Smart Chain показывают, что адрес мошенника не был заморожен до 6 октября 2022 года. Вместо этого средства оставались на счету злоумышленника и никогда не были внесены на централизованную биржу или переданы на другую сеть. Мошенник не смог обналичить свою добычу и не получил прибыль от атаки. Но это произошло из-за собственной пассивности мошенника, а не из-за каких-либо действий по замораживанию со стороны Binance.

6 октября 2022 года замораживается

6 октября 2022 года в атаке, не имеющей никакого отношения к мошенничеству PopcornSwap, был использован мост BSC Token Hub на сумму более 570 миллионов долларов. Злоумышленник использовал уязвимость в коде моста, чтобы выпустить 2 миллиона BNB на Smart Chain без их предварительного внесения на сторону Beacon Chain моста. Это означало, что общее предложение BNB увеличилось на 2 миллиона на BSC.

Атакующий немедленно перевел 100 миллионов долларов в другие сети, фактически вывел средства из-под контроля валидаторов BSC. В ответ на это разработчики BSC предложили хардфорк сети, который бы закрыл мост и заморозил адрес злоумышленника. При подготовке этого предложения команда также включила в код замораживание адреса мошенника PopcornSwap.

Это обновление было единогласно одобрено всеми валидаторами BNB Chain. В результате после 6 октября 2022 года ни адрес атакующего мост, ни адрес мошенника PopcornSwap не могли осуществлять исходящие транзакции. Однако новое предложение не включало код для перевода замороженных средств на другой адрес. Потерпевшие говорят, что Binance могла сделать больше для смягчения инцидента.

11/ К счастью, стоит отметить, что Binance заморозила кошелек и BNB при значительной хакерской атаке, что является положительным шагом. Однако последующая тишина и отсутствие коммуникации относительно замороженных BNB вызывают опасения. Мы заслуживаем ответов.

— neonmatrixbox (@neonmatrixbox) 26 июня 2023 года

Binance отвечает

В беседе с Cointelegraph 31 августа представитель Binance подтвердил, что предложение заморозить адрес 0xFd6042Df3D74ce9959922FeC559d7995F3933c55, также известный как «Fake_Phishing7», было сделано Binance 6 октября 2022 года. Представитель также подтвердил, что это было всего лишь предложение, которое не могло быть реализовано без согласия валидаторов. В данном случае предложение было одобрено единогласно всеми валидаторами сети. Они заявили:

«По просьбе потерпевших от PopcornSwap, Binance предложила внести адрес атакующего в черный список вместе с атакующим мостом BNB в октябре 2022 года, предложение было представлено командой BNB Chain и одобрено валидаторами сети».

Binance также подтвердила, согласно данным блокчейна, что средства никогда не были перемещены во владение Binance. “Мы подтверждаем, что мошенник не переводил средства на Binance, и у нас нет контроля над этими средствами”, – заявили они. “BNB Chain – это открытая и децентрализованная экосистема; кошельки и/или их средства не могут быть заморожены по желанию [и] решения о управлении координируются сообществом”.

Binance заявила, что расследование не было закрыто и биржа готова сотрудничать с полицией, если это поможет. “Это дело остается под расследованием, и наша группа расследований всегда готова поддержать правоохранительные органы в поисках виновных”, – говорится в заявлении.

Мошенничество с PopcornSwap: поучительная история

Потерпевшие от мошенничества PopcornSwap потеряли более 2 миллионов долларов своих заработанных денег. Увидев, что Binance является разработчиком BNB Smart Chain, они обратились за помощью к ней. Биржа отказалась помогать, ссылаясь на децентрализованную природу блокчейнов. Однако позже Binance изменила свое решение и заморозила личный адрес мошенника с согласия валидаторов BNB Chain.

Мошенничество PopcornSwap также служит поучительным примером рисков использования смарт-контрактов. Если смарт-контракт содержит уязвимость, позволяющую злоумышленнику вытянуть деньги пользователей, потерпевшие столкнутся с трудностями, пытаясь получить компенсацию от валидаторов после завершения атаки, поскольку форки блокчейна, по сути, требуют единогласного согласия для реализации. Такова природа блокчейнов. Кроме того, следует отметить, что, несмотря на их заявления о децентрализации, субъекты могут, фактически, контролировать активы пользователей, если им пожелается.

Коинтелеграф редактор Чжиюань Сунь внес свой вклад в эту историю.

Связано: Потерпевшие от Мультичейн ищут ответы на $1,5 млрд. эксплуатацию по мере появления новых доказательств

We will continue to update BiLee; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

политика

Grayscale Bitcoin Trust среди лучших ETF-фондов ARK во втором квартале 2023 года

Во втором квартале 2023 года GBTC составила практически такую же долю в портфеле ARKW, как и акции Tesla, в то время ...

блокчейн

Трейдер превращает $500 в состояние в миллион долларов с помощью мем-монеты BALD на блокчейне Coinbase

На блокчейне Coinbase, работающем на уровне 2, начался шквал мем-монет, даже несмотря на то, что сеть официально еще ...

рынок

Прогноз цены на Shiba Inu с обещанными четырьмя крупными обновлениями - может ли SHIB достичь отметки в 10 долларов?

Цена на Шиба Ину за последние 24 часа выросла на 1,5%, достигнув отметки в $0.00000831. Это произошло вместе с общим ...

рынок

XLM растет с ралли на 10% - сможет ли восстановление удержаться на своих позициях?

Стеллар (XLM) пережил сильное восстановление, отскочив от важного уровня поддержки в $0.11. Графические индикаторы ук...

биткоин

Как использовать индексные фонды и ETF для получения пассивного дохода от криптовалюты

Индексные фонды и Фонды с обменом торгуемых инструментов (ETF) предлагают привлекательные варианты для пассивного инв...

рынок

Cardano TVL - Определяющий фактор для восстановления цены ADA?

Cardano значительно продвинулся в области децентрализованных финансовых операций (DeFi), особенно в терминах общей за...