Una serie di vulnerabilità critiche è stata recentemente identificata dagli sviluppatori del provider di sicurezza DeFi HashEx durante l’esame del codice del progetto SafeMoon DeFi. I problemi identificati sono così gravi che gli utenti vengono avvisati di stare alla larga dal protocollo per paura di perdere i propri fondi.
Come riportato in un comunicato stampa condiviso da HashEx con Bitcoinist, le vulnerabilità sono state rilevate in SafeMoon, un protocollo DeFi basato su smart contract BEP-20 che addebita fino al 5% di commissioni per trasferimento on-chain per la successiva ridistribuzione tra i possessori di token $ SAFEMOON. Il token $ SAFEMOON stesso è cresciuto di prezzo di oltre il 15.000% dal lancio, superando la capitalizzazione di mercato di $ 6 miliardi con liquidità DEX-swap attualmente superiore a $ 200.000.000.
Nonostante le cifre stellari, HashEx ha identificato che i problemi che mettono a rischio i fondi di oltre due milioni di investitori includono 12 vulnerabilità, di cui due sono considerate critiche e tre sono considerate a rischio estremamente elevato.
Le vulnerabilità identificate consentono a qualsiasi autore di reato di impostare commissioni per token $ SAFEMOON fino al 100%, condurre pratiche maligne, escludere i titolari di token dalle distribuzioni di commissioni, bloccare temporaneamente il trasferimento di token o rendere i contratti intelligenti permanentemente inutilizzabili. Inoltre, almeno quattro delle vulnerabilità possono essere lanciate in combinazione, moltiplicando così il danno inflitto a favore degli attori malevoli.
La comunicazione che HashEx ha avuto con il team di sviluppo di SafeMoon ha chiarito che quest’ultimo è a conoscenza delle vulnerabilità, ma non può aggiornare questi problemi”con un contratto distribuito senza hardfork”.
“Funzioni come excludeFromReward e lo stesso per excludeFromFee vengono utilizzate per gli scambi di portafogli caldi in modo che gli utenti non siano ingiustamente penalizzati per aver partecipato con CEX. Affrontando questi altri problemi, come la rinuncia alla proprietà di essere ritirata dal responsabile del contratto, non rinunceremo mai e in passato abbiamo chiarito la nostra posizione su questo punto. Internamente abbiamo politiche e procedure su come funziona il contratto per alleviare il rischio di una cattiva gestione dei valori, tuttavia non ci vedrai mai modificare le tariffe o maxTx”, è stata la dichiarazione ricevuta dal CTO di SafeMoon Thomas Smith sui risultati riportati da HashEx.
Le vulnerabilità, come il tiro al tappeto, consentirebbero di”prelevare”liquidità dai pool di SafeMoon, poiché il suo account smart contract di proprietà esterna è controllato da una persona reale e può essere compromesso dagli hacker. Un simile attacco potrebbe portare a una perdita istantanea di oltre il 15% di tutta la liquidità di SafeMoon, per un importo di oltre $ 20 milioni. Inoltre, è possibile applicare una chiamata di funzione con rinuncia temporanea alla proprietà anche se lo sviluppatore trasferisce la proprietà a un indirizzo di masterizzazione di token
La lista nera dei premi che consentirebbe l’esclusione di determinati portafogli dalla distribuzione dei premi è altrettanto preoccupante, in quanto può essere utilizzata per distribuire fino al 30% del saldo a favore dei portafogli che possono essere inclusi in l’elenco a discrezione dell’aggressore. Ancora più preoccupante è la possibilità di trasferimenti di token al 100% esentasse, il che significherebbe che invece di trasferire i token al destinatario, l’intera somma finirebbe in un pool di ricompense comune.
La combinazione di tali vulnerabilità critiche in SafeMoon è un promemoria che fa riflettere sui rischi che i progetti DeFi continuano a sopportare sul mercato. Messari di recente ha segnalato che un totale di $ 285 milioni è stato rubato a seguito di attacchi alla DeFi negli ultimi due anni. Un esempio recente è il caso del protocollo di finanza decentralizzata DeFi100 che viene segnalato è risultato essere una truffa che si è conclusa con il furto di 32 milioni di dollari in fondi degli utenti. Se SafeMoon si trova sulla stessa strada scivolosa è una domanda a cui solo gli sviluppatori del progetto o il tempo risponderanno.
