黑客利用未经核实的trac从CUT代币池中盗取了140万美元

据 CertiK 称，攻击者利用一个无法读取的功能，在未销毁等值流动性提供者 (LP) 代币的情况下，转移了价值 140 万美元的 BSC-USD。该区块链洞察和安全平台显示，这些 BSC-USD 于 9 月 10 日从一个持有 CUT 代币的流动性池中被盗取。.

CertiK 声称，CUT 代币trac依赖于一份未经核实的独立trac来设置其“未来收益参数”，从而允许通过四笔独立的交易以神秘的方式tracBSC-USD。据 CertiK 称，被利用的 CUT 代币与 Crypto Unit 项目不同，尽管其交易代码相同，但位于 Binance 智能链 (BSC) 上以“36a7”结尾的不同地址。根据 CertiK 的调查结果，受影响的交易对为“0x83681F67069A154815a0c6C2C97e2dAca6eD3249”。.  

利用 CUT 代币的漏洞导致超过 140 万美元的损失。

#CertiKInsight 🚨

我们发现了一个涉及 CUT 代币的闪电贷漏洞。

BSC：0x7057F3b0F4D0649B428F0D8378A8a0E7D21d36a7

CUT 合约tractractractractractractractractractractractractractractractractrac未经验证，并且包含…… pic.twitter.com/ycE4Px3Nxy

— CertiK Alert (@CertiKAlert) 2024年9月10日

CertiK 发现了一起涉及 CUT 代币的闪电贷漏洞，该trac利用了地址为 0x0917914b0A70ee7F1f2460Fcd487696856E31154 的“ILPFutureYieldContract(trac)”trac。该合约未经验证，且包含隐藏功能。这家加密安全平台确认，攻击者利用 FutureYield 操纵 CUT，从 BUSD-CUTcake 对中获利近 140 万美元。CertiK 确认，这些资金目前存放在地址为“0x5766d1F03378f50c7c981c014Ed5e5A8124f38A4”的合约中。

CertiK披露，被清空的资金池是Pancakecakecakecakecakecakecakecakecakecake平台的资金池未受影响。区块链数据 显示 ，攻击者进行了四笔独立的交易，从一个BSC-USD资金池中盗走了1,448,974美元。CertiK表示，由于攻击者既没有向该资金池存入任何资金，也没有持有任何流动性提供者代币，因此他们才发现了这笔非法交易。 

根据 CertiK 的报告，攻击者调用了代币trac中不存在的“0x7a50b2b8”函数。报告显示，攻击者必定调用了“trac()”函数，从而得以调用另一个完全独立的、未经验证的trac上的函数，该合约的地址以“1154”结尾，仅显示无法读取的字节码。此次漏洞利用导致 CUT 流动性提供者共损失 140 万美元。.

2024年加密货币漏洞利用案件激增，8月份损失超过3.1亿美元。

CertiK的数据 显示 ，2024年8月，黑客攻击、诈骗和漏洞利用共造成超过3.1亿美元的损失。数据显示，这是2024年第二高的月度损失。其中，跑路诈骗损失约80万美元，闪电贷损失约120万美元，漏洞利用损失3.088亿美元，而仅追回了1030万美元。 

CertiK 的数据显示，网络钓鱼受害者总共损失了 2.93 亿美元。值得注意的是，8 月份最大的几起闪电贷攻击导致 Vow（损失 120 万美元）、MintStakeShare（损失 3.35 万美元）和 Satoshi（损失 5000 美元）损失惨重；而最大的几起跑路骗局则导致 Grimace 代币（损失 64.9 万美元）、Sigma（损失 13.6 万美元）和 Mbappe 代币（损失 8.8 万美元）损失惨重。8 月份遭受损失最大的漏洞攻击涉及 Ronin Network（损失 1180 万美元）、Nexera（损失 44.88 万美元）、Convergence（损失 21 万美元）、iVest DAO（损失 17.2 万美元）和 AAVE Periphery Ctr（损失 6.4 万美元）。.

Immunefi披露，2024年加密货币黑客造成的损失超过12亿美元，比2023年同期增长15.5%。.