Four_meme souffre d'un piratage ciblant les pools de liquidité de l'UniSwap V3, perdant 183 000 $

Le projet Four_meme a récemment subi une grave violation de l'espace de crypto-monnaie, entraînant une perte estimée à 183 000 $.

Four_Meme project recently encountered a serious breach in the cryptocurrency space, leading to an estimated loss of $183,000. The attack targeted a vulnerability in the Uniswap V3 mechanism, which allows users to create liquidity pools and set prices in advance. The assailant exploited this oversight in a series of well-planned steps, ultimately causing significant financial damage to the project.

Four_meme Project a récemment rencontré une violation grave dans l'espace de crypto-monnaie, entraînant une perte estimée à 183 000 $. L'attaque a ciblé une vulnérabilité dans le mécanisme UNISWAP V3, qui permet aux utilisateurs de créer des pools de liquidité et de fixer les prix à l'avance. L'agresseur a exploité cette surveillance dans une série d'étapes bien planifiées, causant finalement des dommages financiers importants au projet.

How the Attack Unfolded

Comment l'attaque s'est déroulée

The method of attack hinged on a flaw in the Four_Meme contract’s handling of liquidity and token prices. The project’s tokens were initially acquired by the attacker at a very low price. They were purchased before any liquidity was added to PancakeSwap, a decentralized exchange where our tokens trade. This gave the attacker two advantages. First, they obtained our tokens at a ridiculously low price. Second, had they held onto those tokens, they would have likely netted a much higher price after liquidity got added to the decentralized exchange.

La méthode d'attaque articulée sur une faille dans le traitement de la liquidité et des jetons par le contrat Four_meme. Les jetons du projet ont été initialement acquis par l'attaquant à un prix très bas. Ils ont été achetés avant que toute liquidité ne soit ajoutée à Pancakeswap, un échange décentralisé où nos jetons échangent. Cela a donné à l'attaquant deux avantages. Tout d'abord, ils ont obtenu nos jetons à un prix ridiculement bas. Deuxièmement, s'ils avaient conservé ces jetons, ils auraient probablement permis un prix beaucoup plus élevé après que les liquidités avaient été ajoutées à l'échange décentralisé.

In the next step, the attack moved on to creating a trading pair pool on PancakeSwap in a preemptive way. The attacker took the low-price tokens and paired them with WBNB (Wrapped Binance Coin). Yet there was one important detail in this step: the price of the token was set at an extraordinarily high rate. This price manipulation was not an oversight. It was a calculated move that took advantage of the way Uniswap V3 allows for the creation of liquidity pools at predetermined prices.

Dans l'étape suivante, l'attaque est passée à la création d'un pool de paires de trading sur Pancakeswap de manière préventive. L'attaquant a pris les jetons à bas prix et les a associés à WBNB (pièce de binance enveloppée). Pourtant, il y avait un détail important dans cette étape: le prix du jeton a été fixé à un taux extraordinairement élevé. Cette manipulation des prix n'était pas une supervision. C'était une décision calculée qui a profité de la façon dont l'UNISWAP V3 permet la création de pools de liquidité à des prix prédéterminés.

Once they had set up the costly trading pair, the attacker bided their time and let the project in question launch. When the liquidity was injected into the PancakeSwap pool, the attacker struck. Using a bot, they added more liquidity to the pool, but at a much higher price, thus pushing the price of the token higher, and we do mean much higher.

Une fois qu'ils ont créé la paire de trading coûteuse, l'attaquant a exprimé leur temps et a laissé le projet en question se lancer. Lorsque la liquidité a été injectée dans la piscine Pancakeswap, l'attaquant a frappé. À l'aide d'un bot, ils ont ajouté plus de liquidité à la piscine, mais à un prix beaucoup plus élevé, poussant ainsi le prix du jeton plus élevé, et nous signifions beaucoup plus élevé.

The last part of the step was when the attacker disposed of the tokens they had acquired at the low price, now at the inflated price they had set earlier. They sold off the tokens and profited substantially from the difference between the low acquisition price and the inflated sale price.

La dernière partie de l'étape a été lorsque l'attaquant a éliminé les jetons qu'ils avaient acquis au prix bas, maintenant au prix gonflé qu'ils avaient fixé plus tôt. Ils ont vendu les jetons et ont considérablement profité de la différence entre le bas prix d'acquisition et le prix de vente gonflé.

Exploiting the Uniswap V3 Mechanism

Exploit le mécanisme UNISWAP V3

This attack was directed at the Uniswap V3 protocol and how it operates. Uniswap V3 provides a nifty feature that allows liquidity providers (LPs) to specify custom price ranges for the pools they’re providing liquidity to. This is good and well, as it allows LPs to concentrate their capital in the price ranges that are most conducive to their business. However, this feature also allows an LP with bad intentions (like our friend “0x8aa”) to create a price range that’s super conducive to hoodwinking token buyers and sellers—to create a setup that allows them to peg a token price at some artificial range, for instance.

Cette attaque a été dirigée vers le protocole UniSwap V3 et son fonctionnement. UNISWAP V3 fournit une fonctionnalité Nifty qui permet aux fournisseurs de liquidités (LPS) de spécifier des gammes de prix personnalisées pour les pools auxquels ils fournissent des liquidités. C'est bien et bien, car il permet aux LP de concentrer leur capital dans les gammes de prix les plus propices à leur entreprise. Cependant, cette fonctionnalité permet également à un LP avec de mauvaises intentions (comme notre ami «0x8aa») de créer une gamme de prix qui est super propice aux acheteurs et vendeurs de jetons de capot de capuche - pour créer une configuration qui leur permet de fixer un prix en jeton à une fourchette artificielle , par exemple.

In this instance, the mechanism was fully exploited by the attacker, who set up a not-so-simple scenario that artfully created a token price that was totally inflated. The price was artificially pumped up—via a setup that was not quite as simple as it seemed—before any of the project’s liquidity was made available. By the time the actual liquidity was added and the price “settled,” the attackers had already made off with profits amounting to 100 percent of the artificially boosted price of the token.

Dans ce cas, le mécanisme a été pleinement exploité par l'attaquant, qui a mis en place un scénario pas si simple qui a créé astucieusement un prix de jeton totalement gonflé. Le prix a été artificiellement gonflé - Via une configuration qui n'était pas aussi simple qu'elle le semblait - avant que toute liquidité du projet ait été mise à disposition. Au moment où la liquidité réelle a été ajoutée et le prix «réglé», les attaquants avaient déjà réalisé des bénéfices s'élevant à 100% du prix artificiellement augmenté du jeton.

This attack type is especially worrisome for projects and investors, revealing design and implementation weaknesses in liquidity pools on decentralized exchanges such as PancakeSwap. These platforms may allow for decentralized trading opportunities, but they also present new risks, especially when the protocols that underlie them fail to mitigate the possibility of price manipulation.

Ce type d'attaque est particulièrement inquiétant pour les projets et les investisseurs, révélant la conception et les faiblesses de mise en œuvre dans les pools de liquidité sur des échanges décentralisés tels que Pancakeswap. Ces plateformes peuvent permettre des opportunités de négociation décentralisées, mais elles présentent également de nouveaux risques, en particulier lorsque les protocoles qui les sous-tendent ne parviennent pas à atténuer la possibilité de manipulation des prix.

Four_Meme Attack Highlights DeFi Vulnerabilities

Four_meme Attack met en évidence les vulnérabilités

The Four_Meme attack is not an isolated incident but part of a larger trend in which decentralized protocols are being targeted for financial gain. As DeFi platforms achieve greater traction, they have become enticing targets for malicious actors who are looking to exploit any vulnerability, whether that be a smart contract, liquidity pool setup, or price setting mechanism.

L'attaque Four_Meme n'est pas un incident isolé mais fait partie d'une tendance plus large dans laquelle des protocoles décentralisés sont ciblés pour un gain financier. Alors que les plates-formes Defi atteignent une plus grande traction, ils sont devenus des objectifs attrayants pour les acteurs malveillants qui cherchent à exploiter toute vulnérabilité, qu'il s'agisse d'un contrat intelligent, d'une configuration de pool de liquidités ou d'un mécanisme de fixation de prix.

The Four_Meme team could take the recent attack on their project’s smart contract as a wake-up call to rethink not just their management of liquidity pools but also, and more importantly, their security protocols in general. If the smart contract for a project can be hacked, then the project itself can be said to have a security hole as large as the one in the National Security Agency’s Fort Meade, Maryland, headquarters that was famously penetrated by a couple of high school kids in 1999.

L'équipe Four_meme pourrait prendre la récente attaque contre le contrat intelligent de leur projet en tant que réveil pour repenser non seulement leur gestion des pools de liquidité, mais aussi, et plus important encore, leurs protocoles de sécurité en général. Si le contrat intelligent pour un projet peut être piraté, le projet lui-même peut avoir un trou de sécurité aussi grand que celui de l'agence de sécurité nationale Fort Meade, Maryland, siège social qui a été célèbre par quelques lycéens en 1999.

The DeFi space keeps evolving, and projects and investors alike need to be on their toes regarding the potential system vulnerabilities. The Four_Meme attack serves as a costly reminder that a single misstep in managing liquidity and price settings can yield significant losses. This incident also underscores that, in the fast-moving world of cryptocurrency, security must always be front of mind and never an afterthought.

L'espace Defi continue d'évoluer, et les projets et les investisseurs doivent être sur leurs gardes concernant les vulnérabilités potentielles du système. L'attaque Four_meme sert de rappel coûteux qu'un seul faux pas dans la gestion de la liquidité et des prix peut entraîner des pertes importantes. Cet incident souligne également que, dans le monde en mouvement rapide de la crypto-monnaie, la sécurité doit toujours être à l'esprit et jamais une réflexion après coup.