3月份被利用的去中心化金融项目SafeMoon ,导致BNB净损失890万美元,已被美国证券交易委员会(SEC)指控违反安全规则和欺诈。
与该漏洞相关的资金一直通过中心化交易所(CEX)转移,区块链分析公司 Match Systems 相信这些转移可能对执法机构至关重要。
Match Systems的Sean Thornton告诉媒体,它怀疑 CEX 被用作洗钱链中的中间环节:
在 CEX 上,资金可以兑换为其他代币并进一步提取,并且可以注册 CEX 上的账户(虚拟人)。考虑到在没有执法机构请求的情况下几乎不可能通过 CEX 追踪资金的流动,对于黑客来说,CEX 是比 DEX(去中心化交易所)更可取的选择,可以为黑客赢得时间和迷惑路径。
Match Systems 对 SafeMoon 智能合约和随后的资金动向进行了事后分析,以分析剥削者的行为。分析显示,黑客利用了 SafeMoon 合约中与“Bridge Burn”功能相关的漏洞,允许任何人在任何地址调用 SafeMoon (SFM) 代币的burn功能。这些攻击者利用该漏洞将其他用户的代币转移到开发者的地址。
攻击者进行的转账导致 320 亿个 SFM 代币从 SafeMoon 的流动性池地址发送到 SafeMoon 的部署者地址。这导致代币价值立即飙升。剥削者利用价格上涨将部分 SFM 代币以虚高的价格兑换成 BNB。结果,27,380 BNB 被转移到黑客的地址。
Match System 发现该智能合约漏洞在之前的版本中并不存在,直到 3 月 28 日(即漏洞利用当天)的新更新中才出现,这让许多人相信有内部人员参与其中。到 11 月 1 日,随着美国证券交易委员会 (SEC) 对 SafeMoon 项目及其三名高管提出指控,指控他们犯有欺诈行为并违反证券法,这些猜测更加火上浇油。
桑顿告诉 Cointelegraph,SEC 的指控并非毫无根据,他们还发现了可能表明 SafeMoon 管理层参与了所发生的黑客攻击的证据。这是否是故意或由于员工疏忽造成的,将由执法部门确定。
美国证券交易委员会指控 SafeMoon 首席执行官约翰·卡罗尼 (John Karony) 和首席技术官托马斯·史密斯 (Thomas ith) 挪用投资者现金并从该企业撤回 2 亿美元资产。SafeMoon 高管还面临美国司法部合谋实施电汇欺诈、洗钱和证券欺诈的指控。
攻击背后的黑客最初声称他们错误地利用了该协议,并希望建立一个通信通道来返还 80% 的资金。从那时起,与该漏洞相关的资金已多次通过币安等 CEX 转移,这家分析公司认为,这对于执法机构追查该漏洞的实施者至关重要。
