Analis Cryptocurrency Crypto Pwnage menulis bahwa token senilai lebih dari $ 1,8 juta telah ditarik dari salah satu kumpulan PancakeSwap.
Seperti yang dilaporkan Crypto Pwnage di sebuah blog di Medium, sejak 12 April 2021, orang yang memiliki akses ke alamat admin PancakeSwap di Binance Smart Chain (0x35f16a46d3cf19010d28578a8b02dfa3cb4095a1) mencuri sekitar $ 59.765 juta dari kumpulan fee PancakeSwap.
Penyerang mengeksploitasi kerentanan beberapa kali. Tak lama setelah pencurian terakhir, lotere ditangguhkan dan alamatnya diblokir oleh PancakeSwap.
Menurut artikel tersebut, penulis menunggu beberapa minggu untuk memberi PancakeSwap cukup waktu untuk mempublikasikan informasi tentang pencurian dan menutupi kerusakan pengguna yang terkena dampak. Namun, pertukaran desentralisasi tidak pernah merilis data.
Menurut Crypto Pwnage, administrator PancakeSwap menggunakan kemampuannya untuk menggunakan metode kontrak lotere secara manual. Dia melakukan beberapa panggilan pada saat bersamaan (beli, masuk undian, undian) dan menempatkan semuanya dalam satu blok.
Ini memberinya kemampuan untuk memprediksi jumlah jackpot karena generator nomor acak berdasarkan hash dari blok sebelumnya tidak lagi acak.
Untuk mengeksekusi permintaan dalam urutan yang benar dalam setiap blok, dia menetapkan harga gas penurunan yang berbeda untuk setiap transaksi. Penyerang juga telah mengoptimalkan strateginya sejak 21 April dan memurnikan harga gas untuk mendekatkan transaksi satu sama lain di dalam blok.
Dapat diasumsikan bahwa transaksi tidak terkait dan ini hanya perdagangan forward acak. Namun, Crypto Pwnage memberikan beberapa bukti untuk menghilangkan asumsi ini. Misalnya, perubahan harga gas yang disepakati dari 19 April menjadi 21 April dan fakta bahwa administrator sebenarnya menciptakan kemungkinan untuk mengeksploitasi kerentanan untuk melakukan dua transaksi secara bersamaan.
Analis juga mengusulkan perbaikan untuk mengatasi potensi kerentanan serupa di masa depan, termasuk mengubah kriteria transaksi undian sehingga nomor jackpot benar-benar acak.