four_memeは、Uniswap V3の流動性プールをターゲットとするハックに苦しみ、$ 183Kを失います

Four_memeプロジェクトは最近、暗号通貨スペースで深刻な違反を受け、推定183,000ドルの損失につながりました。

Four_Meme project recently encountered a serious breach in the cryptocurrency space, leading to an estimated loss of $183,000. The attack targeted a vulnerability in the Uniswap V3 mechanism, which allows users to create liquidity pools and set prices in advance. The assailant exploited this oversight in a series of well-planned steps, ultimately causing significant financial damage to the project.

Four_memeプロジェクトは最近、暗号通貨スペースで深刻な違反に遭遇し、推定183,000ドルの損失をもたらしました。この攻撃は、UNISWAP V3メカニズムの脆弱性を対象としています。これにより、ユーザーは流動性プールを作成し、事前に価格を設定できます。加害者は、この監視を一連のよく計画した手順で悪用し、最終的にプロジェクトに大きな財政的損害をもたらしました。

How the Attack Unfolded

攻撃がどのように展開されたか

The method of attack hinged on a flaw in the Four_Meme contract’s handling of liquidity and token prices. The project’s tokens were initially acquired by the attacker at a very low price. They were purchased before any liquidity was added to PancakeSwap, a decentralized exchange where our tokens trade. This gave the attacker two advantages. First, they obtained our tokens at a ridiculously low price. Second, had they held onto those tokens, they would have likely netted a much higher price after liquidity got added to the decentralized exchange.

攻撃の方法は、Four_meme契約の流動性とトークンの価格の処理の欠陥にかかっていました。プロジェクトのトークンは、当初、攻撃者によって非常に低価格で買収されました。それらは、私たちのトークンが取引する分散型交換であるPancakeswapに流動性が追加される前に購入されました。これにより、攻撃者は2つの利点を与えました。最初に、彼らは私たちのトークンを途方もなく低価格で取得しました。第二に、彼らがそれらのトークンを握っていれば、彼らは流動性が分散型交換に追加された後、はるかに高い価格を獲得したでしょう。

In the next step, the attack moved on to creating a trading pair pool on PancakeSwap in a preemptive way. The attacker took the low-price tokens and paired them with WBNB (Wrapped Binance Coin). Yet there was one important detail in this step: the price of the token was set at an extraordinarily high rate. This price manipulation was not an oversight. It was a calculated move that took advantage of the way Uniswap V3 allows for the creation of liquidity pools at predetermined prices.

次のステップでは、攻撃は、Pancakeswapにトレーディングペアプールを先制的に作成することに移行しました。攻撃者は低価格のトークンを取り、WBNB（ラップバイナンスコイン）と組み合わせました。しかし、このステップには1つの重要な詳細がありました。トークンの価格は非常に高いレートに設定されました。この価格操作は監視ではありませんでした。これは、UNISWAP V3が所定の価格で流動性プールの作成を可能にする方法を利用した計算された動きでした。

Once they had set up the costly trading pair, the attacker bided their time and let the project in question launch. When the liquidity was injected into the PancakeSwap pool, the attacker struck. Using a bot, they added more liquidity to the pool, but at a much higher price, thus pushing the price of the token higher, and we do mean much higher.

費用のかかる取引ペアをセットアップすると、攻撃者は時間を積み込み、問題のプロジェクトを立ち上げました。流動性がPancakeswapプールに注入されたとき、攻撃者は打たれました。ボットを使用して、彼らはプールにより多くの流動性を追加しましたが、はるかに高い価格で、トークンの価格を高く押し上げます。

The last part of the step was when the attacker disposed of the tokens they had acquired at the low price, now at the inflated price they had set earlier. They sold off the tokens and profited substantially from the difference between the low acquisition price and the inflated sale price.

ステップの最後の部分は、攻撃者が低価格で取得したトークンを処分したときでした。彼らはトークンを売却し、低い獲得価格と膨張した販売価格の違いから実質的に利益を得ました。

Exploiting the Uniswap V3 Mechanism

UNISWAP V3メカニズムの活用

This attack was directed at the Uniswap V3 protocol and how it operates. Uniswap V3 provides a nifty feature that allows liquidity providers (LPs) to specify custom price ranges for the pools they’re providing liquidity to. This is good and well, as it allows LPs to concentrate their capital in the price ranges that are most conducive to their business. However, this feature also allows an LP with bad intentions (like our friend “0x8aa”) to create a price range that’s super conducive to hoodwinking token buyers and sellers—to create a setup that allows them to peg a token price at some artificial range, for instance.

この攻撃は、UNISWAP V3プロトコルとその動作に向けられました。 UNISWAP V3は、流動性プロバイダー（LPS）が流動性を提供しているプールのカスタム価格範囲を指定できるようにする気の利いた機能を提供します。これは、LPSがビジネスに最も役立つ価格帯に資本を集中できるようにするため、良好でうまくいきます。ただし、この機能により、悪い意図を持つLP（友人の「0x8AA」など）は、トークンの買い手と売り手をフッドウィンキングするのに非常に役立つ価格帯を作成し、人工範囲でトークン価格をペグできるセットアップを作成することもできます。 、 例えば。

In this instance, the mechanism was fully exploited by the attacker, who set up a not-so-simple scenario that artfully created a token price that was totally inflated. The price was artificially pumped up—via a setup that was not quite as simple as it seemed—before any of the project’s liquidity was made available. By the time the actual liquidity was added and the price “settled,” the attackers had already made off with profits amounting to 100 percent of the artificially boosted price of the token.

この例では、メカニズムは攻撃者によって完全に搾取されました。攻撃者は、完全に膨らんだトークン価格を巧みに作成したそれほど不思議ではないシナリオを設定しました。プロジェクトの流動性のいずれかが利用可能になる前に、価格は人為的に盛り上げられました。実際の流動性が追加され、価格が「解決」されるまでに、攻撃者はすでに、トークンの人為的に上昇した価格の100％に利益をもたらしていました。

This attack type is especially worrisome for projects and investors, revealing design and implementation weaknesses in liquidity pools on decentralized exchanges such as PancakeSwap. These platforms may allow for decentralized trading opportunities, but they also present new risks, especially when the protocols that underlie them fail to mitigate the possibility of price manipulation.

この攻撃タイプは、プロジェクトや投資家にとって特に心配であり、Pancakeswapなどの分散型交換の流動性プールの設計と実装の弱点を明らかにしています。これらのプラットフォームは、分散型取引の機会を可能にするかもしれませんが、特に根底にあるプロトコルが価格操作の可能性を軽減できない場合、新しいリスクも提示します。

Four_Meme Attack Highlights DeFi Vulnerabilities

Four_meme攻撃は、Defiの脆弱性を強調しています

The Four_Meme attack is not an isolated incident but part of a larger trend in which decentralized protocols are being targeted for financial gain. As DeFi platforms achieve greater traction, they have become enticing targets for malicious actors who are looking to exploit any vulnerability, whether that be a smart contract, liquidity pool setup, or price setting mechanism.

Four_meme攻撃は孤立した事件ではなく、分散型プロトコルが経済的利益の対象となっている大きな傾向の一部です。 Defiプラットフォームがより大きな牽引力を達成するにつれて、スマートコントラクト、流動性プールのセットアップ、価格設定メカニズムなど、あらゆる脆弱性を活用しようとしている悪意のあるアクターの魅力的なターゲットになりました。

The Four_Meme team could take the recent attack on their project’s smart contract as a wake-up call to rethink not just their management of liquidity pools but also, and more importantly, their security protocols in general. If the smart contract for a project can be hacked, then the project itself can be said to have a security hole as large as the one in the National Security Agency’s Fort Meade, Maryland, headquarters that was famously penetrated by a couple of high school kids in 1999.

Four_memeチームは、流動性プールの管理だけでなく、さらに重要なことに、セキュリティプロトコル全般を再考するためのモーニングコールとして、プロジェクトのスマートコントラクトに対する最近の攻撃を行うことができます。プロジェクトのスマートコントラクトをハッキングできる場合、プロジェクト自体は、メリーランド州フォートミードの本部の本部と同じくらいの広いセキュリティホールを持っていると言えます。 1999年。

The DeFi space keeps evolving, and projects and investors alike need to be on their toes regarding the potential system vulnerabilities. The Four_Meme attack serves as a costly reminder that a single misstep in managing liquidity and price settings can yield significant losses. This incident also underscores that, in the fast-moving world of cryptocurrency, security must always be front of mind and never an afterthought.

Defiスペースは進化を続け、プロジェクトと投資家の両方が潜在的なシステムの脆弱性に関してつま先にいる必要があります。 4_meme攻撃は、流動性と価格設定の管理における単一の失敗が重大な損失をもたらす可能性があることをコストのかかるリマインダーとして機能します。この事件は、暗号通貨の急速に変化する世界では、セキュリティは常に心の前であり、決して後付けではないことを強調しています。