FEGトークンが2022年に3度目のハッキング、ユーザーは資金の99％を失う

Feed Every Gorilla (FEG) トークンの「SmartBridge」が悪用された疑いにより、ハッカーが収益を売却した後、日曜日に所有者は 99% 下落した

A suspected exploit of the Feed Every Gorilla (FEG) token’s “SmartBridge” left holders down 99% on Sunday, after the hacker sold off the proceeds into existing liquidity.

Feed Every Gorilla (FEG) トークンの「SmartBridge」が悪用された疑いがあり、ハッカーが収益を既存の流動性として売却したため、日曜日には保有者が 99% 下落しました。

In what must feel like a depressingly familiar series of events, this attack is the third to hit the project following two separate incidents in 2022.

気が滅入るほど見慣れた一連の出来事のように感じるはずだが、この攻撃は、2022 年に 2 件発生した別々の事件に続き、プロジェクトを襲う 3 度目となる。

Looks like @FEGtoken has been hacked. Price has dropped by 99%. As I can see, exploiter's profit is at least:712 $BNB on BSC73 $ETH on Base96 $ETH on EthereumFunds have been transfered to #TornadoCash. Total profit is over 1,070,000$. Protocol paused by team 🫣 pic.twitter.com/gGEHBurtif

@FEGtoken がハッキングされたようです。価格は99％下落しました。ご覧のとおり、搾取者の利益は少なくとも: 712 $BNB on BSC73 $ETH on Base96 $ETH on Ethereum 資金は #TornadoCash に転送されました。合計利益は1,070,000ドル以上です。チームによってプロトコルが一時停止されました🫣 pic.twitter.com/gGEHBurtif

Read more: Are North Korean hackers liquidated on HyperLiquid planning something?

続きを読む: HyperLiquidで清算された北朝鮮のハッカーは何かを計画しているのか?

The project’s response to the “Irregular Transactions” acknowledged its users’ frustration, which were shared by the team. It initially suspected “a vulnerability in the wormhole bridge, which had previously undergone an audit” by Peckshield (which claims to have identified the root cause, but is yet to comment officially).

「不規則なトランザクション」に対するプロジェクトの対応ではユーザーの不満が認められ、チームもそれを共有しました。同社は当初、Peckshield による「以前に監査を受けていたワームホール ブリッジの脆弱性」を疑っていました (根本原因を特定したと主張していますが、まだ公式にはコメントしていません)。

In the meantime, crypto security and auditing firm BlockSec conducted its own analysis of the hack, finding that “only the relayer can register withdrawal in the SmartBridge. However, when receiving a wormhole bridge message, the relayer doesn’t check if the source address is allowed to trigger the withdrawal registration.”

一方、暗号通貨セキュリティおよび監査会社の BlockSec は、ハッキングに関する独自の分析を実施し、「中継者だけが SmartBridge に出金を登録できる」ことを発見しました。ただし、ワームホール ブリッジ メッセージを受信する場合、リレーラーは送信元アドレスが取り消し登録のトリガーを許可されているかどうかを確認しません。」

The hacker was then able to craft a malicious bridge message on one chain, fraudulently withdraw large amounts of FEG on the destination chain, and swap it for the existing liquidity. The same three steps were followed on each chain.

その後、ハッカーは 1 つのチェーン上で悪意のあるブリッジ メッセージを作成し、宛先チェーン上で大量の FEG を不正に引き出し、それを既存の流動性と交換することができました。同じ 3 つのステップが各チェーンで実行されました。

The FEG token ties together the project’s “SmartDeFi” token launchpads on ETH, Base and BNB Chain. According to Cyvers, the attacker made over $1 million dumping the tokens: 96 ETH, 73 ETH and 712 BNB profit on each chain, respectively.

FEG トークンは、ETH、Base、BNB チェーン上のプロジェクトの「SmartDeFi」トークン ラウンチパッドを結び付けます。 Cyvers によると、攻撃者はトークンのダンピングで 100 万ドル以上を稼いだ、つまり各チェーンでそれぞれ 96 ETH、73 ETH、712 BNB の利益がありました。

Many voiced their frustrations and disbelief via X despite replies to the team’s statement being disabled. Users remarked on the loss of credibility, a lack of surprise, feeling “trapped,” and even suggesting the events may have been inside jobs.

チームの声明への返信が無効になっているにもかかわらず、多くの人がXを通じて不満や不信感を表明した。ユーザーは、信頼性の喪失、驚きのなさ、「閉じ込められた」と感じたと述べ、さらには事件が社内で起こった可能性を示唆することさえあった。

Some did show support, however, pointing to the team’s “proactive approach” and taking comfort in FEG’s “real-world utility,” while dismissing security concerns as “woke.”

しかし、チームの「積極的なアプローチ」を指摘し、FEGの「現実世界の有用性」に安心感を抱きながらも、安全保障上の懸念を「目が覚めた」として無視するなど、支持を示した人もいた。

This isn’t FEG’s first rodeo

FEGにとってこれは初めてのロデオではない

May 2022 saw the project lose $1.3 million to a flash loan attack which also exploited a data validation issue to drain FEG tokens. Despite “respectfully request[ing]” the return of stolen funds, they were laundered via Tornado Cash a few days later.

2022 年 5 月には、データ検証の問題を悪用して FEG トークンを枯渇させたフラッシュ ローン攻撃により、プロジェクトは 130 万ドルを失いました。盗まれた資金の返還を「謹んで要請」したにもかかわらず、数日後にトルネードキャッシュを通じて資金洗浄された。

The FEG team would like to keep the community updated on what had transpired on May 15, 2022 at approximately 8:20 PM (UTC). There was an exploit in the Swap-to-Swap (S2S) functionality within the FEGtoken swap contracts on BSC and ETH.(1/7)

FEG チームは、2022 年 5 月 15 日午後 8 時 20 分頃 (UTC) に何が起こったのかをコミュニティに常に最新情報を提供したいと考えています。 BSC と ETH の FEGtoken スワップ契約内の Swap-to-Swap (S2S) 機能にエクスプロイトがありました。(1/7)

Read more: DeFi project Delta Prime hacked again — months after private key leak

続きを読む: DeFi プロジェクト デルタ プライムが再びハッキング — 秘密鍵漏洩から数か月後

After such a blow, FEG opted to use a third-party solution, locking its token’s liquidity with Team Finance to inspire confidence that users’ money would remain safe.

このような打撃を受けて、FEG はサードパーティのソリューションを使用することを選択し、ユーザーの資金が安全に保たれるという自信を持たせるために、トークンの流動性を Team Finance でロックしました。

But in October of that same year, the token suffered a loss of almost $2 million when four of these “bulletproof” liquidity locks were exploited due to a fault in the migration system to move liquidity from Uniswap v2 and v3. The incident saw a total of over $15 million lost between the affected teams, though most funds were later returned.

しかし、同年10月、Uniswap v2およびv3から流動性を移動するための移行システムの欠陥により、これらの「防弾」流動性ロックのうち4つが悪用され、トークンは約200万ドルの損失を被った。この事件により、影響を受けたチーム間で総額 1,500 万ドル以上の損失が発生しましたが、資金のほとんどは後に返還されました。