به نظر می‌رسد که بایننس این قدرت را دارد که آدرس‌های کیف پول خصوصی را در زنجیره BNB مسدود کند، البته تنها با اجماع همه اعتباردهندگان.

یک فرش زنجیره ای BNB از 2 میلیون دلار (11 میلیون دلار به قیمت امروز BNB) از کاربران کلاهبرداری می کند. کاربران از بایننس کمک می خواهند. بایننس گفت که وجوه را مسدود کرده است اما سپس بیانیه را پس گرفت. وجوه برای نزدیک به دو سال در آدرس باقی ماند که بایننس به طور ناگهانی اقدام به مسدود کردن کیف پول کلاهبرداران کرد که به 10.8 میلیون دلار رسیده بود. پیش از این، بایننس اعلام کرده بود که به دلیل ماهیت غیرمتمرکز زنجیره BNB، نمی‌تواند کیف پول‌هایی را به جز آدرس‌های صرافی مسدود کند. کاربران ناراضی هستند و بایننس می خواهند کارهای بیشتری انجام دهد. این داستان کلاهبرداری PopcornSwap است.

در 28 ژانویه 2021، PopcornSwap، صرافی غیرمتمرکز در Build N Build (BNB) Chain، با سرقت بیش از 2 میلیون دلار از دارایی‌های ارائه‌دهنده نقدینگی از طریق عملکرد کمی شناخته‌شده «Pre-Upgrade» در قرارداد هوشمند صرافی، یک کلاهبرداری خروج را مرتکب شد. . کاربران امیدوار بودند که بایننس، خالق زنجیره BNB، بتواند آدرس کلاهبرداران را مسدود کند. ارزش BNB که در حساب این کلاهبردار نگهداری می شود از آن زمان به بیش از 10 میلیون دلار رسیده است و کاربران در مورد مسدود شدن وجوه گمانه زنی می کنند.

یک مطالعه نشان می‌دهد که برخلاف تصور عمومی، بایننس می‌تواند آدرس‌های کیف پول خصوصی را در زنجیره BNB مسدود کند تا زمانی که همه اعتبارسنجی‌ها اجازه داشته باشند. اگرچه آدرس مهاجم در نهایت توسط بایننس مسدود شد، این اقدام تقریباً دو سال پس از کلاهبرداری انجام شد. در طول دو سال پس از آن، مهاجم به طور داوطلبانه پول را در حساب اصلی نگه داشته و آن را جابجا نکرده است.

دستگاه قالی کش پاپ کورن تعویض

در سال 2021، PopcornSwap به یکی از اولین صرافی های غیرمتمرکز در زنجیره هوشمند بایننس (BSC) که به تازگی راه اندازی شده بود، تبدیل شد که بعداً به «BNB Smart Chain» تغییر نام داد. برخی از کاربران شبکه برای واریز نقدینگی به PopcornSwap هجوم آورده‌اند، به این امید که از حجم معاملات بالایی که انتظار دارند در BSC رخ دهد، سود ببرند. با این حال، به جای دریافت رکورد بازدهی که انتظار داشتند، تمام سرمایه هایی را که سرمایه گذاری کرده بودند از دست دادند. PopcornSwap یک فورک Pancakeswap بود که خود یک فورک Sushiswap در اتریوم بود. و این اتفاق افتاد که Sushiswap شامل یک عملکرد “پیش ارتقا” بود که به توسعه دهندگان اجازه می داد تا خود را به عنوان خرج کننده برای هر توکن ارائه دهنده نقدینگی (LP) تایید کنند و به آنها اجازه می داد تمام دارایی های موجود در پروتکل را تخلیه کنند.

بین ساعت‌های 13:26 و 17:53 UTC در 28 ژانویه 2021، آدرس BSC 0xFd6042Df3D74ce9959922FeC559d7995F3933c55 از تابع فوق‌الذکر برای رها کردن 2 میلیون دلار از پروتکل‌های cryptocurrency شبکه، پروتکل‌های Ncryptocin به ارزش 2 میلیون دلار استفاده کرد. روند LP های PopcornSwap همه چیز را از دست داده بودند. این حمله در 28 ژانویه، 17.53 UTC پایان یافت، زمانی که Fake_Phishing7 تراکنش نهایی را آغاز کرد که 250,913 USD Coin با نمایه بایننس (USDC) را با 5,536 BNB مبادله کرد. این باعث شد که کلاهبردار تقریباً 48511 BNB به ارزش 2 میلیون دلار در آن زمان (و 10.8 میلیون دلار اکنون) داشته باشد.

قربانیان از Binance کمک می خواهند

در پی حادثه قالی‌کشی، قربانیان گروه تلگرامی PopcornRugPull را ایجاد کردند. آنها از یکدیگر خواستند تا با بایننس تماس بگیرند و کلاهبرداری را گزارش کنند و از بایننس خواستند قبل از اینکه هرگونه وجهی نقد شود، آدرس کلاهبردار را مسدود کند. برخی از کاربران معتقد بودند که بایننس می تواند آدرس کیف پول خصوصی کلاهبردار را مسدود کند. دیگران استدلال کردند که این غیرممکن است، زیرا یک صرافی متمرکز نمی تواند آدرس کیف پول خصوصی را مسدود کند.

مرتبط با: بایننس برنامه توقف پشتیبانی BUSD را تأیید کرده و استیبل کوین جدید را به پیش می‌برد

بورس در حال اقدام است

در 29 ژانویه 2021، بایننس به یکی از قربانیان PopcornSwap پاسخ داد. کاربری که خود را «ریچی» می نامد، تصویری از ایمیلی که دریافت کرده بود منتشر کرد. نماینده خدمات مشتریان بایننس به اشتباه اعلام کرد که “کیف پول کلاهبردار فریز شده است”. نماینده خدمات مشتری از ریچی و همه کاربران PopcornSwap خواست تا زمانی که تمام وضعیت توسط مقامات حل شود صبور باشند.

اما در اکتبر 2022، وجوه دزدیده شده خاموش بود و تمام تلاش‌ها برای جلب پاسخ خدمات مشتری با نامه‌هایی روبه‌رو شد که از کاربران می‌خواستند با پلیس تماس بگیرند. قربانیان PopcornSwap از پاسخ بی‌رحمانه صرافی به درخواست‌های کاربران برای بازپرداخت متحیر شدند. با این حال، داده های بلاک چین نشان می دهد که در زمان این شکایات، بایننس وجوه دزدیده شده را نداشت و هیچ وابستگی به سازمانی که پول کاربران را به سرقت برده بود، نداشت.

برخلاف اظهارات نماینده خدمات مشتریان بایننس، داده‌های زنجیره هوشمند BNB نشان می‌دهد که آدرس کلاهبردار قبل از ۶ اکتبر ۲۰۲۲ مسدود نشده است. در عوض، وجوه در حساب مهاجم باقی می‌ماند و هرگز به یک صرافی متمرکز واریز یا منتقل نمی‌شود. شبکه دیگری کلاهبردار نتوانست غارت سرقت شده را نقد کند و هرگز از این حمله سودی نبرد. با این حال، این شکست به دلیل هیچ اقدام انجمادی بایننس نبود، بلکه به دلیل عدم ابتکار عمل کلاهبردار بود.

بستنی 6 اکتبر 2022

در 6 اکتبر 2022، پل BSC Token Hub برای بیش از 570 میلیون دلار در حمله ای مورد سوء استفاده قرار گرفت که هیچ ارتباطی با کلاهبرداری PopcornSwap نداشت. با بهره‌برداری از یک حفره در کد پل، بهره‌بردار 2 میلیون BNB را در زنجیره هوشمند بدون واریز کردن آن در سمت زنجیره بیکن پل صادر کرد. این بدان معناست که کل عرضه BNB در BSC 2 میلیون افزایش یافته است.

مهاجم فوراً 100 میلیون دلار از BNB مورد سوء استفاده را به شبکه های دیگر متصل کرد و وجوه را از دسترس تایید کنندگان BSC دور نگه داشت. در پاسخ، توسعه دهندگان BSC یک هارد فورک شبکه را پیشنهاد کردند که پل را خاموش می کند و آدرس مهاجم را مسدود می کند. در حین تهیه پیش نویس این پیشنهاد، تیم همچنین خطی به کد اضافه کرد که آدرس کلاهبردار PopcornSwap را مسدود می کند.

این ارتقا به اتفاق آرا توسط تمام اعتبار سنجی زنجیره BNB تایید شده است. در نتیجه، آدرس های هر دو سوء استفاده کننده پل و کلاهبردار PopcornSwap از انجام هر گونه اقدامی پس از 6 اکتبر 2022 منع شده است. با این حال، پیشنهاد جدید شامل کد انتقال وجوه مسدود شده به آدرس دیگری نبود. قربانیان می گویند بایننس می تواند کارهای بیشتری برای کاهش این حادثه انجام دهد.

11/ به عنوان یک اتفاق مثبت، شایان ذکر است که بایننس کیف پول و BNB را هنگام وقوع یک حمله قابل توجه مسدود کرد که این نیز یک گام مثبت است. با این حال، سکوت بعدی و عدم ارتباط در مورد BNB منجمد نگرانی ها را افزایش می دهد. ما شایسته پاسخ هستیم

– neonmatrixbox (@neonmatrixbox) 26 ژوئن 2023

بایننس پاسخ می دهد

یکی از نمایندگان بایننس در گفتگو با کوین تلگراف در 31 آگوست تأیید کرد که بایننس پیشنهاد مسدود کردن 0xFd6042Df3D74ce9959922FeC559d7995F3933c55، همچنین به عنوان “Fake_Phishing7” را در 6 اکتبر 202 ارائه کرده است. این نماینده همچنین تأیید کرد که این فقط یک پیشنهاد است که بدون تأیید اعتبارسنجی ها قابل اجرا نیست. در این مورد، این پیشنهاد به اتفاق آرا توسط تمام اعتبارسنجی شبکه پذیرفته شد. بیان کردند:

“به درخواست قربانیان PopcornSwap، بایننس توصیه کرد که در اکتبر 2022 آدرس مهاجم در لیست سیاه در کنار مهاجم BNB Bridge ارسال شده توسط تیم زنجیره BNB و تایید توسط اعتباردهندگان شبکه قرار گیرد.”

بایننس همچنین تأیید کرد که این وجوه هرگز به دست بایننس نرسیده است، مطابق با داده های بلاک چین. آنها گفتند: “ما می توانیم تأیید کنیم که کلاهبردار وجوهی را به Binance منتقل نکرده است و ما کنترلی بر وجوه نداریم.” BNB Chain یک اکوسیستم متن باز و غیرمتمرکز است. کیف پول و/یا وجوه را نمی توان به صورت اختیاری مسدود کرد [and] تصمیمات حاکمیتی توسط جامعه هماهنگ می شود.

بایننس با بیان اینکه تحقیقات هنوز بسته نشده است و صرافی آماده است در صورت کمک پلیس از طریق پلیس پیگیری کند، گفت: این پرونده در دست بررسی است و تیم تحقیقاتی ما همیشه آماده حمایت از مجریان قانون برای تعقیب افراد مسئول هستند.

کلاهبرداری Pocornswap: یک داستان هشدار دهنده

قربانیان کلاهبرداری PopcornSwap بیش از 2 میلیون دلار از پولی که به سختی به دست آورده بودند را در نتیجه از دست دادند. وقتی دیدند بایننس توسعه دهنده زنجیره هوشمند BNB است، برای کمک به بایننس مراجعه کردند. این صرافی با استناد به ماهیت غیرمتمرکز زنجیره‌های بلوکی، از کمک خودداری کرد. با این حال، بایننس بعداً مسیر خود را تغییر داد و آدرس خصوصی کلاهبردار را با تأیید اعتبارسنجی زنجیره BNB مسدود کرد.

کلاهبرداری PopcornSwap همچنین به عنوان یک داستان هشدار دهنده در مورد خطرات استفاده از قراردادهای هوشمند عمل می کند. اگر یک قرارداد هوشمند حاوی حفره‌ای باشد که به مهاجم اجازه می‌دهد وجوه کاربران را مصرف کند، قربانیان هنگام تلاش برای بازپرداخت وجه از اعتبارسنجی‌ها پس از تکمیل حمله، با چالش سختی روبرو خواهند شد، زیرا فورک‌های یک بلاک چین اساساً برای اجرا به تأیید اتفاق آرا نیاز دارند. ماهیت بلاک چین ها چنین است. همچنین توجه داشته باشید که علیرغم ادعای عدم تمرکز، سازمان ها در صورت تمایل می توانند در واقع کنترل دارایی های کاربران را حفظ کنند.

ژیوان سان، سردبیر Cointelegraph در این داستان مشارکت داشت.

مطالب مرتبط: با ظهور شواهد جدید، چندین قربانی زنجیره ای به دنبال پاسخی برای سوء استفاده 1.5 میلیارد دلاری هستند.

نویسنده: Tom Blackstone