Safemoon - 翻车

毕竟不是那么安全。

昨天，Safemoon损失了价值890万美元的"锁仓LP"，这要归咎于该项目最新升级引入的一个错误。

这次攻击抽干了SFM/BNB池，由项目和其CEOJohn Karony两个账号在推特上宣布，并都禁用了回复。

攻击发生几个小时后，黑客向Safemoon的“部署地址”发送了一条消息，声称自己是MEV机器人运行者，愿意归还资金：

“嘿，别紧张，我们不小心对你进行了一次攻击，我们想归还资金，请提供安全沟通渠道，让我们谈谈。”

然而，过去的链上活动表明他们绝非真正的好人...

即使这一次团队成功躲过了一劫...

...在出现这样的低级错误后，还能信任他们吗？

信息来源：Peckshield, MoonMark

攻击发生前仅仅六个多小时，Safemoon的“部署地址”将代币 合约 升级 为新版本。在此过程中，团队引入了一种漏洞，导致了一种令人惊讶的简单利用。

新代码允许公开调用burn()函数，使任何人都可以从任何地址销毁SFM代币。

这使得黑客能够销毁SFM:BNB流动性池中持有的大量SFM代币，大幅度提高了池中SFM代币的价格。

然后，通过将（先前获取的）SFM代币出售到价格严重不对等的池中，黑客能够抽干池中的BNB流动性，并获得28,000 BNB或890万美元的利润。

攻击交易：0x48e52a12…

黑客地址：0x286e09932b8d096cba3423d12965042736b8f850

黑客声称已经对攻击进行了抢跑处理，并与Safemoon联系以协商归还资金，其中大部分资金已经转移到 0x237D地址，在撰写本文时仍留存在该地址。

自两年前推出以来，Safemoon就备受丑闻困扰。

最初被贴上“拉盘&砸盘”计划的标签，Safemoon的宣传者后来被集体指控，之后Coffeezilla发表了一系列关于幕后情况的详细调查报告。

在2021年春季BSC炒作高潮，Safemoon成为tiktok投机者的宠儿，它声称由于锁定了流动性，因此不会被抛售，每次代币转账都会增加流动性（抽取一部分费用到流动池）。然而，代币转账费用也被批评为庞氏骗局，因为持有者卖出的动力被削弱了。

在垃圾币暴涨的高峰期，我们曾写道：

“各种垃圾币并没有停止的迹象。”

市场自那时以来已经显著降温，很难想象这些项目是如何在这么久的时间里幸存下来的……

鉴于该漏洞是由项目的部署地址引入的，Peckshield（或许是出于宽容或者出于汉隆剃刀原则）提出了管理密钥可能已经泄漏或者被钓鱼的可能性。

无论资金是在黑客还是白帽MEV抢跑者手中，更广泛的加密社区对Safemoon缺乏信任，这表明即使有了团队也不太可能安全……

无论是因为糟糕的抽毯子跑路尝试还是因为纯粹的无能，这件事对于一个从未受到好评的项目来说都不是什么好兆头。

尽管有这么多负面新闻，但仍有一些SFM社区的信仰者似乎仍然相信它，或者正在遭受持有者的斯德哥尔摩综合症。

也许如果他们现在还没有放弃，那么他们永远不会放弃。

即使这次Safemoon幸运逃脱，犯这样简单的错误估计以后也好不到哪去。

Safemoon还能坚持多久？

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。