Le jeton FEG piraté pour la troisième fois en 2022, les utilisateurs perdent 99 % de leurs fonds

Un exploit présumé du « SmartBridge » du jeton Feed Every Gorilla (FEG) a laissé les détenteurs en baisse de 99 % dimanche, après que le pirate informatique a vendu les bénéfices.

A suspected exploit of the Feed Every Gorilla (FEG) token’s “SmartBridge” left holders down 99% on Sunday, after the hacker sold off the proceeds into existing liquidity.

Un exploit présumé du « SmartBridge » du jeton Feed Every Gorilla (FEG) a laissé les détenteurs en baisse de 99 % dimanche, après que le pirate informatique a vendu le produit dans les liquidités existantes.

In what must feel like a depressingly familiar series of events, this attack is the third to hit the project following two separate incidents in 2022.

Dans ce qui doit ressembler à une série d’événements tristement familiers, cette attaque est la troisième à frapper le projet après deux incidents distincts survenus en 2022.

Looks like @FEGtoken has been hacked. Price has dropped by 99%. As I can see, exploiter's profit is at least:712 $BNB on BSC73 $ETH on Base96 $ETH on EthereumFunds have been transfered to #TornadoCash. Total profit is over 1,070,000$. Protocol paused by team 🫣 pic.twitter.com/gGEHBurtif

On dirait que @FEGtoken a été piraté. Le prix a baissé de 99%. Comme je peux le voir, le profit de l'exploiteur est d'au moins : 712 $BNB sur BSC73 $ETH sur Base96 $ETH sur EthereumLes fonds ont été transférés vers #TornadoCash. Le bénéfice total dépasse 1 070 000$. Protocole suspendu par l'équipe 🫣 pic.twitter.com/gGEHBurtif

Read more: Are North Korean hackers liquidated on HyperLiquid planning something?

Lire la suite : Les hackers nord-coréens liquidés sur HyperLiquid planifient-ils quelque chose ?

The project’s response to the “Irregular Transactions” acknowledged its users’ frustration, which were shared by the team. It initially suspected “a vulnerability in the wormhole bridge, which had previously undergone an audit” by Peckshield (which claims to have identified the root cause, but is yet to comment officially).

La réponse du projet aux « Transactions irrégulières » a reconnu la frustration de ses utilisateurs, partagée par l'équipe. Elle soupçonnait initialement « une vulnérabilité dans le pont du vortex, qui avait déjà fait l'objet d'un audit » par Peckshield (qui prétend en avoir identifié la cause profonde, mais n'a pas encore commenté officiellement).

In the meantime, crypto security and auditing firm BlockSec conducted its own analysis of the hack, finding that “only the relayer can register withdrawal in the SmartBridge. However, when receiving a wormhole bridge message, the relayer doesn’t check if the source address is allowed to trigger the withdrawal registration.”

Entre-temps, la société de sécurité cryptographique et d'audit BlockSec a mené sa propre analyse du piratage, concluant que « seul le relais peut enregistrer le retrait dans le SmartBridge. Cependant, lors de la réception d'un message de pont de trou de ver, le relais ne vérifie pas si l'adresse source est autorisée à déclencher l'enregistrement de retrait.

The hacker was then able to craft a malicious bridge message on one chain, fraudulently withdraw large amounts of FEG on the destination chain, and swap it for the existing liquidity. The same three steps were followed on each chain.

Le pirate informatique a ensuite pu créer un message de pont malveillant sur une chaîne, retirer frauduleusement de grandes quantités de FEG sur la chaîne de destination et les échanger contre la liquidité existante. Les trois mêmes étapes ont été suivies sur chaque chaîne.

The FEG token ties together the project’s “SmartDeFi” token launchpads on ETH, Base and BNB Chain. According to Cyvers, the attacker made over $1 million dumping the tokens: 96 ETH, 73 ETH and 712 BNB profit on each chain, respectively.

Le jeton FEG relie les rampes de lancement de jetons « SmartDeFi » du projet sur ETH, Base et BNB Chain. Selon Cyvers, l'attaquant a gagné plus d'un million de dollars en abandonnant les jetons : 96 ETH, 73 ETH et 712 BNB de profit sur chaque chaîne, respectivement.

Many voiced their frustrations and disbelief via X despite replies to the team’s statement being disabled. Users remarked on the loss of credibility, a lack of surprise, feeling “trapped,” and even suggesting the events may have been inside jobs.

Beaucoup ont exprimé leurs frustrations et leur incrédulité via X malgré la désactivation des réponses à la déclaration de l'équipe. Les utilisateurs ont souligné la perte de crédibilité, le manque de surprise, le sentiment d'être « piégés » et ont même suggéré que les événements pourraient avoir eu lieu à l'intérieur des emplois.

Some did show support, however, pointing to the team’s “proactive approach” and taking comfort in FEG’s “real-world utility,” while dismissing security concerns as “woke.”

Certains ont cependant manifesté leur soutien, soulignant « l'approche proactive » de l'équipe et se sentant rassurés par « l'utilité réelle » de FEG, tout en rejetant les problèmes de sécurité en les qualifiant de « réveillés ».

This isn’t FEG’s first rodeo

Ce n'est pas le premier rodéo de la FEG

May 2022 saw the project lose $1.3 million to a flash loan attack which also exploited a data validation issue to drain FEG tokens. Despite “respectfully request[ing]” the return of stolen funds, they were laundered via Tornado Cash a few days later.

En mai 2022, le projet a perdu 1,3 million de dollars à cause d'une attaque de prêt flash qui exploitait également un problème de validation des données pour drainer les jetons FEG. Bien qu’ils aient « respectueusement demandé » la restitution des fonds volés, ceux-ci ont été blanchis via Tornado Cash quelques jours plus tard.

The FEG team would like to keep the community updated on what had transpired on May 15, 2022 at approximately 8:20 PM (UTC). There was an exploit in the Swap-to-Swap (S2S) functionality within the FEGtoken swap contracts on BSC and ETH.(1/7)

L'équipe FEG souhaite tenir la communauté informée de ce qui s'est passé le 15 mai 2022 vers 20h20 (UTC). Il y a eu un exploit dans la fonctionnalité Swap-to-Swap (S2S) dans les contrats d'échange FEGtoken sur BSC et ETH.(1/7)

Read more: DeFi project Delta Prime hacked again — months after private key leak

Lire la suite : Le projet DeFi Delta Prime à nouveau piraté – des mois après la fuite de la clé privée

After such a blow, FEG opted to use a third-party solution, locking its token’s liquidity with Team Finance to inspire confidence that users’ money would remain safe.

Après un tel coup dur, FEG a choisi d'utiliser une solution tierce, verrouillant la liquidité de son jeton avec Team Finance pour donner l'assurance que l'argent des utilisateurs resterait en sécurité.

But in October of that same year, the token suffered a loss of almost $2 million when four of these “bulletproof” liquidity locks were exploited due to a fault in the migration system to move liquidity from Uniswap v2 and v3. The incident saw a total of over $15 million lost between the affected teams, though most funds were later returned.

Mais en octobre de la même année, le jeton a subi une perte de près de 2 millions de dollars lorsque quatre de ces verrous de liquidité « à toute épreuve » ont été exploités en raison d’une erreur dans le système de migration pour déplacer les liquidités d’Uniswap v2 et v3. L'incident a entraîné une perte totale de plus de 15 millions de dollars entre les équipes concernées, bien que la plupart des fonds aient été restitués par la suite.