بی میلی بایننس برای مسدود کردن کیف پول های BNB باعث ایجاد جنجال در این ماشه ۱۱ میلیون دلاری شد.

آخرین به روز رسانی: ۱۶ شهریور ۱۴۰۲

۰ 2,007 خواندن این مطلب 6 دقیقه زمان میبرد

بی میلی بایننس برای مسدود کردن کیف پول های BNB باعث ایجاد جنجال در این ماشه 11 میلیون دلاری شد.

همانطور که مشخص است، بایننس در واقع این قدرت را دارد که آدرس های کیف پول خصوصی را در زنجیره BNB مسدود کند، اما فقط با رضایت همه اعتبار سنجی ها.

Lug pull در زنجیره BNB باعث کلاهبرداری از کاربران ۲ میلیون دلاری (۱۱ میلیون دلار با قیمت فعلی BNB) می شود. کاربران برای کمک به Binance مراجعه می کنند. بایننس گفت که وجوه را مسدود کرده است، اما بعداً بیانیه خود را پس گرفت. هنگامی که بایننس به طور ناگهانی اقداماتی را برای مسدود کردن کیف پول کلاهبردار انجام داد، که به ۱۰.۸ میلیون دلار افزایش یافته بود، وجوه برای نزدیک به دو سال در آن آدرس ذخیره شده بود. پیش از این، بایننس گفته بود که به دلیل ماهیت غیرمتمرکز زنجیره BNB، نمی‌تواند کیف پول‌هایی غیر از آدرس‌های مبادله را مسدود کند. کاربران ناراضی هستند و خواهان اقدام بیشتر بایننس هستند. این داستان کلاهبرداری PopcornSwap است.

در ۲۸ ژانویه ۲۰۲۱، صرافی غیرمتمرکز PopcornSwap در زنجیره Build N Build (BNB) یک کلاهبرداری خروجی انجام داد که در آن بیش از ۲ میلیون دلار دارایی یک ارائه دهنده نقدینگی به سرقت رفت. کاربران امیدوار بودند که بایننس، خالق زنجیره BNB، بتواند آدرس کلاهبردار را مسدود کند. ارزش BNB که در حساب کلاهبردار نگهداری می‌شود به بیش از ۱۰ میلیون دلار افزایش یافته است زیرا کاربران در مورد مسدود شدن وجوه گمانه‌زنی می‌کنند.

یک تحقیق نشان داد که برخلاف تصور رایج، بایننس می‌تواند آدرس‌های کیف پول خصوصی را در زنجیره BNB تا زمانی که همه اعتباردهندگان موافق باشند، مسدود کند. آدرس مهاجم در نهایت توسط بایننس مسدود شد، اما این اقدام نزدیک به دو سال پس از کلاهبرداری رخ داد. در طول دو سال گذشته، مهاجم به طور داوطلبانه وجوه را در حساب اصلی نگه داشته و آنها را جابجا نکرده است.

PopcornSwap Lug Pull

در سال ۲۰۲۱، PopcornSwap به یکی از اولین صرافی های غیرمتمرکز در زنجیره هوشمند بایننس (BSC) که به تازگی راه اندازی شده بود، تبدیل شد که بعداً به «زنجیره هوشمند BNB» تغییر نام داد. برخی از کاربران شبکه به PopcornSwap هجوم آورده اند تا نقدینگی را واریز کنند تا از حجم بالای معاملاتی که انتظار می رود در BSC تحقق یابد، بهره مند شوند. اما به جای رسیدن به رکوردی که انتظارش را داشتند، تمام پولی را که سپرده بودند از دست دادند. PopcornSwap یک فورک Pancakeswap است که خود یک فورک Sushiswap در اتریوم بود. و به طور تصادفی، Sushiswap شامل یک ویژگی “پیش ارتقا” است که به توسعه دهندگان اجازه می دهد تا خود را به عنوان خرج کننده هر توکن ارائه دهنده نقدینگی (LP) مجاز کنند و تمام دارایی های موجود در پروتکل را تخلیه کنند.

بین ساعت ۱:۲۶ بعد از ظهر تا ۵:۵۳ بعد از ظهر UTC در ۲۸ ژانویه ۲۰۲۱، آدرس BSC 0xFd6042Df3D74ce9959922FeC559d7995F3933c55، پروتکل را به ارزش ۲ میلیون دلار با استفاده از صرافی های رمزنگاری و ارزهای رمزنگاری شده به ارزش تمام کرد. ، سکه بومی شبکه. PopcornSwap LP همه چیز را از دست داد. این حمله در تاریخ ۲۸ ژانویه در ساعت ۵:۵۳ بعد از ظهر UTC پایان یافت، زمانی که Fake_Phishing7 تراکنش نهایی را مبادله ۲۵۰۹۱۳ سکه USD (USDC) بایننس برای ۵۵۳۶ BNB آغاز کرد. این مبلغ تقریباً ۴۸۵۱۱ BNB در آدرس کلاهبردار باقی گذاشت که در آن زمان ۲ میلیون دلار ارزش داشت (۱۰.۸ میلیون دلار امروز).

وجوه PopcornSwap بیش از دو سال است که جابجا نشده است.منبع: BSC Scan

قربانیان برای کمک به بایننس مراجعه می کنند

حادثه قالی‌کشی باعث شد قربانیان گروه تلگرامی PopcornRugPull را تشکیل دهند. آنها از یکدیگر خواستند تا برای گزارش کلاهبرداری با بایننس تماس بگیرند و از بایننس خواستند قبل از نقد شدن وجوه، آدرس کلاهبردار را مسدود کند. برخی از کاربران معتقد بودند که بایننس می تواند آدرس کیف پول خصوصی کلاهبردار را مسدود کند. برخی استدلال می کنند که این امکان پذیر نیست زیرا صرافی های متمرکز نمی توانند آدرس های کیف پول خصوصی را مسدود کنند.

قربانیان پاپ کورن سوآپ از دیگران می خواهند که کلاهبرداری ها را گزارش کنند. منبع: تلگرام

مربوط: بایننس برنامه های خود را برای کنار گذاشتن پشتیبانی BUSD، ترویج استیبل کوین جدید تایید کرد

مبادله اقدام می کند

در ۲۹ ژانویه ۲۰۲۱، بایننس به یکی از قربانیان PopcornSwap پاسخ داد. کاربری که خود را «ریچی» می نامد، تصویری از ایمیلی که دریافت کرده بود منتشر کرد. در آن، یک نماینده خدمات مشتریان بایننس به اشتباه اعلام کرد که “کیف پول کلاهبردار مسدود شده است.” یک نماینده خدمات مشتری از ریچی و همه کاربران PopcornSwap خواست تا زمانی که مقامات کل وضعیت را حل کنند صبور باشند.

توضیح: یک نماینده پشتیبانی مشتری بایننس گفت که آدرس کلاهبردار مبادله پاپ کورن در اوایل سال ۲۰۲۱ مسدود شده است. منبع: تلگرام

با این حال، تا اکتبر ۲۰۲۲، وجوه دزدیده شده هنوز دست نخورده بود و حتی زمانی که خدمات مشتری تلاش کرد پاسخ دهد، به کاربران نامه هایی ارسال شد که از آنها خواسته شد با پلیس تماس بگیرند. قربانیان PopcornSwap از پاسخ ظاهراً بی تفاوت صرافی به درخواست کاربران برای بازپرداخت گیج شده بودند. با این حال، داده های بلاک چین نشان می دهد که در زمان این شکایات، بایننس مالک هیچ یک از وجوه دزدیده شده نبوده و به نهادی که پول کاربران را دزدیده است، وابسته نبوده است.

برخلاف اظهارات نمایندگان خدمات مشتری Binance، داده‌های BNB Smart Chain نشان می‌دهد که آدرس کلاهبردار قبل از ۶ اکتبر ۲۰۲۲ مسدود نشده است. در عوض، وجوه در حساب مهاجم باقی می‌ماند و به یک صرافی متمرکز واریز نمی‌شود یا پل می‌شود. یک شبکه دیگر کلاهبرداران نتوانستند غارت سرقت شده خود را به پول نقد تبدیل کنند و از این حمله سودی نبردند. با این حال، این شکست به دلیل عدم ابتکار عمل کلاهبردار است و نه به دلیل انجماد انجام شده توسط Binance.

فریز در ۶ اکتبر ۲۰۲۲

در ۶ اکتبر ۲۰۲۲، BSC Token Hub Bridge برای بیش از ۵۷۰ میلیون دلار در یک حمله کاملاً نامرتبط با کلاهبرداری PopcornSwap مورد سوء استفاده قرار گرفت. بهره‌بردار از خلأ در کد پل استفاده کرد و ۲ میلیون BNB در زنجیره هوشمند صادر کرد بدون اینکه ابتدا آن را در سمت زنجیره چراغ پل قرار دهد. این بدان معنی است که کل عرضه BNB در BSC 2 میلیون افزایش یافته است.

مهاجمان بلافاصله ۱۰۰ میلیون دلار از BNB استثمار شده را به شبکه های دیگر متصل کردند، و در واقع سرمایه را از دسترس تأیید کنندگان BSC خارج کردند. در پاسخ، توسعه دهندگان BSC یک هارد فورک شبکه را پیشنهاد کردند که پل را خاموش می کند و آدرس های سوء استفاده کنندگان را مسدود می کند. هنگام تهیه پیش نویس این پیشنهاد، تیم همچنین خطی را در کد گنجاند که آدرس کلاهبرداران PopcornSwap را مسدود می کند.

این ارتقا به اتفاق آرا توسط تمام اعتبارسنجی‌های زنجیره BNB تأیید شد. در نتیجه، هم آدرس سوءاستفاده‌کننده پل و هم آدرس کلاهبردار PopcornSwap از انجام تراکنش‌های خروجی از ۶ اکتبر ۲۰۲۲ منع شده‌اند. با این حال، پیشنهاد جدید شامل کدی برای انتقال وجوه مسدود شده به آدرس دیگری نبود. قربانیان ادعا می‌کنند که بایننس می‌توانست کارهای بیشتری برای کاهش این حادثه انجام دهد.

۱۱/ در یک نکته مثبت، شایان ذکر است که بایننس کیف پول و BNB را هنگامی که یک هک قابل توجه رخ داد مسدود کرد. این یک قدم مثبت است. با این حال، سکوت بعدی و عدم ارتباط در مورد BNB منجمد نگرانی‌هایی را ایجاد می‌کند. ما شایسته پاسخ هستیم
– جعبه ماتریکس نئون (@neonmatrixbox) ۲۶ ژوئن ۲۰۲۳

بایننس پاسخ می دهد

در گفتگو با کوین تلگراف در ۳۱ آگوست، یکی از نمایندگان بایننس تایید کرد که پیشنهادی در ۶ اکتبر ۲۰۲۲ برای مسدود کردن آدرس 0xFd6042Df3D74ce9959922FeC559d7995F3933c55، همچنین به عنوان “Fake_Phishing7,” ساخته شده است. این نماینده همچنین اذعان داشت که این فقط یک پیشنهاد است و بدون موافقت صاحب نظران قابل اجرا نیست. در این مورد، این پیشنهاد به اتفاق آرا مورد موافقت تمام تایید کنندگان شبکه قرار گرفت. آنها گفتند:

«به درخواست قربانیان PopcornSwap، بایننس پیشنهاد کرد که آدرس مهاجم را در کنار مهاجم BNB Bridge در اکتبر ۲۰۲۲ در لیست سیاه قرار دهد، که توسط تیم زنجیره BNB و امنیت شبکه تایید شده توسط داده ها ارسال شده بود.

بایننس همچنین با داده های بلاک چین موافقت کرد تا تأیید کند که وجوه هرگز به دارایی های بایننس منتقل نشده است. آنها گفتند: “ما می توانیم تأیید کنیم که کلاهبرداران وجوهی را به بایننس منتقل نمی کنند و کنترلی بر آنها ندارند.” “BNB Chain یک اکوسیستم غیرمتمرکز منبع باز است. کیف پول ها و وجوه آنها را نمی توان به میل خود مسدود کرد. [and] تصمیمات حاکمیتی توسط جامعه هماهنگ می شود. ”

بایننس اصرار داشت که تحقیقات هنوز به پایان نرسیده است و صرافی آماده است در صورت امکان با پلیس همکاری کند.

کلاهبرداری Pocornswap: یک داستان هشدار دهنده

قربانیان کلاهبرداری PopcornSwap بیش از ۲ میلیون دلار از پولی که به سختی به دست آورده بودند را از دست دادند. هنگامی که آنها متوجه شدند که توسعه دهنده زنجیره هوشمند BNB بایننس است، از BNB Smart Chain درخواست کمک کردند. این صرافی با استناد به ماهیت غیرمتمرکز بلاک چین، از همکاری خودداری کرد. با این حال، بایننس بعداً مسیر خود را تغییر داد و آدرس خصوصی کلاهبردار را با رضایت اعتبارسنجی زنجیره BNB مسدود کرد.

کلاهبرداری PopcornSwap همچنین به عنوان هشداری در مورد خطرات استفاده از قراردادهای هوشمند عمل می کند. اگر یک قرارداد هوشمند حاوی حفره‌ای باشد که به مهاجم اجازه می‌دهد از وجوه کاربران استفاده کند، قربانی پس از تکمیل حمله از اعتبارسنجی بازپرداخت دریافت می‌کند، زیرا پیاده‌سازی فورک بلاک چین اساساً به رضایت متفق القول نیاز دارد. آنها با یک نبرد سخت مواجه خواهند شد. برای به دست آوردن همان. این ماهیت بلاک چین است. علاوه بر این، توجه داشته باشید که علیرغم ادعای عدم تمرکز، شرکت ها در واقع می توانند دارایی های کاربران را همانطور که می خواهند کنترل کنند.

Zhiyuan Sun سردبیر Cointelegraph در این مقاله مشارکت داشت.

موارد مرتبط: قربانیان چند زنجیره ای، شواهد جدید فاش شد، در جستجوی پاسخی برای سوء استفاده ۱.۵ میلیارد دلاری

نویسنده: Tom Blackstone