FEG-Token wurde 2022 zum dritten Mal gehackt, Benutzer verlieren 99 % der Gelder

Ein mutmaßlicher Exploit der „SmartBridge“ des Feed Every Gorilla (FEG)-Tokens ließ die Inhaber am Sonntag um 99 % im Stich, nachdem der Hacker den Erlös verkauft hatte

A suspected exploit of the Feed Every Gorilla (FEG) token’s “SmartBridge” left holders down 99% on Sunday, after the hacker sold off the proceeds into existing liquidity.

Ein mutmaßlicher Exploit der „SmartBridge“ des Feed Every Gorilla (FEG)-Tokens ließ die Inhaber am Sonntag um 99 % im Stich, nachdem der Hacker die Erlöse in bestehende Liquidität verkauft hatte.

In what must feel like a depressingly familiar series of events, this attack is the third to hit the project following two separate incidents in 2022.

In einer scheinbar deprimierend vertrauten Reihe von Ereignissen ist dieser Angriff der dritte, der das Projekt nach zwei getrennten Vorfällen im Jahr 2022 heimsuchte.

Looks like @FEGtoken has been hacked. Price has dropped by 99%. As I can see, exploiter's profit is at least:712 $BNB on BSC73 $ETH on Base96 $ETH on EthereumFunds have been transfered to #TornadoCash. Total profit is over 1,070,000$. Protocol paused by team 🫣 pic.twitter.com/gGEHBurtif

Es sieht so aus, als ob @FEGtoken gehackt wurde. Der Preis ist um 99 % gesunken. Wie ich sehen kann, beträgt der Gewinn des Ausbeuters mindestens:712 $BNB auf BSC73 $ETH auf Base96 $ETH auf EthereumDie Gelder wurden an #TornadoCash übertragen. Der Gesamtgewinn beträgt über 1.070.000 $. Protokoll vom Team pausiert 🫣 pic.twitter.com/gGEHBurtif

Read more: Are North Korean hackers liquidated on HyperLiquid planning something?

Weiterlesen: Planen nordkoreanische Hacker, die auf HyperLiquid liquidiert wurden, etwas?

The project’s response to the “Irregular Transactions” acknowledged its users’ frustration, which were shared by the team. It initially suspected “a vulnerability in the wormhole bridge, which had previously undergone an audit” by Peckshield (which claims to have identified the root cause, but is yet to comment officially).

Die Reaktion des Projekts auf die „irregulären Transaktionen“ würdigte die Frustration seiner Benutzer, die das Team teilte. Zunächst vermutete man „eine Schwachstelle in der Wurmlochbrücke, die zuvor einer Prüfung“ durch Peckshield unterzogen worden war (das behauptet, die Grundursache identifiziert zu haben, sich aber noch nicht offiziell dazu geäußert hat).

In the meantime, crypto security and auditing firm BlockSec conducted its own analysis of the hack, finding that “only the relayer can register withdrawal in the SmartBridge. However, when receiving a wormhole bridge message, the relayer doesn’t check if the source address is allowed to trigger the withdrawal registration.”

In der Zwischenzeit führte das Krypto-Sicherheits- und Prüfungsunternehmen BlockSec eine eigene Analyse des Hacks durch und stellte fest, dass „nur der Relayer eine Auszahlung in der SmartBridge registrieren kann.“ Beim Empfang einer Wurmlochbrückennachricht prüft der Relayer jedoch nicht, ob die Quelladresse die Auszahlungsregistrierung auslösen darf.“

The hacker was then able to craft a malicious bridge message on one chain, fraudulently withdraw large amounts of FEG on the destination chain, and swap it for the existing liquidity. The same three steps were followed on each chain.

Der Hacker war dann in der Lage, eine böswillige Bridge-Nachricht auf einer Kette zu erstellen, auf betrügerische Weise große Mengen an FEG auf der Zielkette abzuheben und diese gegen die vorhandene Liquidität einzutauschen. In jeder Kette wurden die gleichen drei Schritte befolgt.

The FEG token ties together the project’s “SmartDeFi” token launchpads on ETH, Base and BNB Chain. According to Cyvers, the attacker made over $1 million dumping the tokens: 96 ETH, 73 ETH and 712 BNB profit on each chain, respectively.

Der FEG-Token verbindet die „SmartDeFi“-Token-Launchpads des Projekts auf der ETH-, Base- und BNB-Kette. Laut Cyvers hat der Angreifer mit dem Dumping der Token über 1 Million US-Dollar verdient: 96 ETH, 73 ETH bzw. 712 BNB Gewinn auf jeder Kette.

Many voiced their frustrations and disbelief via X despite replies to the team’s statement being disabled. Users remarked on the loss of credibility, a lack of surprise, feeling “trapped,” and even suggesting the events may have been inside jobs.

Viele äußerten ihre Frustration und ihren Unglauben über X, obwohl die Antworten auf die Erklärung des Teams deaktiviert waren. Benutzer bemerkten den Verlust der Glaubwürdigkeit, mangelnde Überraschung, das Gefühl, „gefangen“ zu sein, und deuteten sogar an, dass die Ereignisse möglicherweise innerhalb von Arbeitsplätzen stattgefunden hätten.

Some did show support, however, pointing to the team’s “proactive approach” and taking comfort in FEG’s “real-world utility,” while dismissing security concerns as “woke.”

Einige zeigten jedoch ihre Unterstützung und verwiesen auf den „proaktiven Ansatz“ des Teams und trösteten sich mit dem „realen Nutzen“ der FEG, während sie Sicherheitsbedenken als „aufgeweckt“ abtaten.

This isn’t FEG’s first rodeo

Dies ist nicht das erste Rodeo der FEG

May 2022 saw the project lose $1.3 million to a flash loan attack which also exploited a data validation issue to drain FEG tokens. Despite “respectfully request[ing]” the return of stolen funds, they were laundered via Tornado Cash a few days later.

Im Mai 2022 verlor das Projekt 1,3 Millionen US-Dollar durch einen Flash-Loan-Angriff, bei dem auch ein Datenvalidierungsproblem ausgenutzt wurde, um FEG-Tokens zu entleeren. Obwohl die Rückgabe der gestohlenen Gelder „respektvoll gefordert“ wurde, wurden sie einige Tage später über Tornado Cash gewaschen.

The FEG team would like to keep the community updated on what had transpired on May 15, 2022 at approximately 8:20 PM (UTC). There was an exploit in the Swap-to-Swap (S2S) functionality within the FEGtoken swap contracts on BSC and ETH.(1/7)

Das FEG-Team möchte die Community über die Ereignisse vom 15. Mai 2022 gegen 20:20 Uhr (UTC) auf dem Laufenden halten. Es gab einen Exploit in der Swap-to-Swap (S2S)-Funktionalität innerhalb der FEGtoken-Swap-Verträge auf BSC und ETH.(1/7)

Read more: DeFi project Delta Prime hacked again — months after private key leak

Weiterlesen: DeFi-Projekt Delta Prime erneut gehackt – Monate nach dem Verlust des privaten Schlüssels

After such a blow, FEG opted to use a third-party solution, locking its token’s liquidity with Team Finance to inspire confidence that users’ money would remain safe.

Nach einem solchen Rückschlag entschied sich FEG für den Einsatz einer Drittanbieterlösung und sperrte die Liquidität seines Tokens bei Team Finance, um Vertrauen zu schaffen, dass das Geld der Benutzer sicher bleiben würde.

But in October of that same year, the token suffered a loss of almost $2 million when four of these “bulletproof” liquidity locks were exploited due to a fault in the migration system to move liquidity from Uniswap v2 and v3. The incident saw a total of over $15 million lost between the affected teams, though most funds were later returned.

Doch im Oktober desselben Jahres erlitt der Token einen Verlust von fast 2 Millionen US-Dollar, als vier dieser „kugelsicheren“ Liquiditätssperren aufgrund eines Fehlers im Migrationssystem ausgenutzt wurden, um Liquidität von Uniswap v2 und v3 zu verschieben. Durch den Vorfall gingen zwischen den betroffenen Teams insgesamt über 15 Millionen US-Dollar verloren, die meisten Gelder wurden jedoch später zurückgezahlt.