DeFi-проект Beetsfarm Finance на базе Polygon заподозрили в мошенничестве

DeFi-проект Beetsfarm Finance на базе Polygon заподозрили в мошенничестве

Проект из сферы доходного фермерства Beetsfarm Finance на блокчейне Polygon заподозрили в мошенничестве. Специалисты сервиса RugDoc обвинили разработчиков в хищении у пользователей более $120 000.

It happened…🚨 https://t.co/ZsiObNQ375 finally rugged 🚨0x369CaBe555716a3349d537DE71b3720D41aC1a1Athis is the wallet that they used.Total funds stolen: $100K and [email protected] I hope you revoked the approval and withdrew your funds after our rug alert. ⛔️— Rugdoc.io (@RugDocIO) June 17, 2021

В RugDoc рассказали, что их сканер, настроенный на поиск неверифицированных смарт-контрактов, оценил Beetsfarm как проект с «высоким риском».

Верификация контракта позволяет убедиться, что скомпилированный код соответствует загруженному в блокчейн. Под давлением сообщества разработчики провели необходимую процедуру, после чего сканер RugDoc повторно проверил смарт-контракт.

«[Сканер] незамедлительно проверил его снова, контракт имел больше тревожных индикаторов, чем мы когда-либо видели», — отметила команда сервиса.

В RugDoc считают, что смарт-контакт Beetsfarm позволяет вносить и выводить средства на сторонние кошельки. После того, как пользователь одобрил взаимодействие с контрактом, любой желающий может инициировать транзакцию из его кошелька на адрес администрации проекта.

2) The contract allowed anyone to deposit and withdraw for anyone's wallet: After you approve the contract, anyone could thus force you to deposit additional funds. pic.twitter.com/oo2c9f7678— Rugdoc.io (@RugDocIO) June 17, 2021

Кодовой базой проекта также предусмотрена функция экстренного вывода средств (emergencyWithdraw). Специалисты RugDoc нашли в ней схожий эксплойт с одним важным отличием: вместо вывода активов на кошелек пользователя, соответствующий параметру «_wallet», функция переводила их на адрес администраторов проекта, обозначенный как «wallet».

4) But the emergencyWithdraw had a very convenient typo: Instead of withdrawing the funds to the users "_wallet", it withdraws them to "wallet"… which is conveniently set to the admin's wallet. pic.twitter.com/Dzj2yNBdea— Rugdoc.io (@RugDocIO) June 17, 2021

По данным DappRadar, в Beetsfarm зарегистрировано 289 уникальных пользователей, а объем обработанных его смарт-контрактом транзакций не превышает $245 000. При этом практически вся зафиксированная сервисом транзакционная активность приходится на 17 июня.

По словам экспертов, администрация проекта украла весомую сумму благодаря функции неограниченного перевода средств. Пользовательские активы с помощью экстренного вывода затем были перемещены на адрес, который на момент написания содержит более $123 000 в различных токенах.

Некоторые пользователи также сообщили, что их LP-токены пропали после внесения на депозит.

Yes!!!! Same problem!!— tzappa (@tzappa9) June 18, 2021

Никаких заявлений от администрации Beetsfarm не последовало. Telegram-канал проекта удалили, а в Twitter его учетная запись помечена как «ограниченная».

Напомним, в мае команду протокола децентрализованного финансирования DeFi100 на базе Binance Smart Chain заподозрили в мошенничестве на $32 млн.

Source