Eine BNB-Kette betrügt Benutzer um 2 Millionen US-Dollar (11 Millionen US-Dollar zu den heutigen BNB-Preisen). Benutzer bitten Binance um Hilfe. Binance gibt an, die Gelder eingefroren zu haben, zieht die Erklärung dann aber zurück. Die Gelder blieben fast zwei Jahre lang an der Adresse, als Binance plötzlich Maßnahmen ergriff und die Brieftasche des Betrügers einfrierte, die auf 10,8 Millionen US-Dollar angewachsen war. Zuvor hatte Binance erklärt, dass es aufgrund der dezentralen Natur der BNB-Kette keine Wallets außerhalb von Börsenadressen einfrieren könne. Die Benutzer sind unzufrieden und fordern von Binance, mehr zu tun. Dies ist die Geschichte des PopcornSwap-Betrugs.
Am 28. Januar 2021 führte die dezentrale Börse PopcornSwap auf der Build N Build (BNB) Chain einen Exit-Betrug durch und stahl über eine wenig bekannte „PreUpgrade“-Funktion, die im Smart Contract der Börse enthalten ist, Vermögenswerte von Liquiditätsanbietern im Wert von über 2 Millionen US-Dollar. Die Benutzer hofften, dass Binance, der Erfinder der BNB-Kette, die Adresse der Betrüger einfrieren könnte. Der Wert der auf dem Konto des Betrügers gehaltenen BNB ist seitdem auf über 10 Millionen US-Dollar angewachsen, da die Benutzer darüber spekulierten, ob die Gelder eingefroren wurden oder nicht.
Eine Untersuchung ergab, dass Binance entgegen der landläufigen Meinung tatsächlich in der Lage ist, private Wallet-Adressen in der BNB-Kette einzufrieren, sofern alle Prüfer zustimmen. Obwohl die Adresse des Angreifers letztendlich von Binance eingefroren wurde, erfolgte diese Aktion fast zwei Jahre nach dem Betrug. In den zwei Jahren dazwischen behielt der Angreifer freiwillig Gelder auf dem ursprünglichen Konto und bewegte sie nicht.
Der PopcornSwap-Teppichgriff
Im Jahr 2021 wurde PopcornSwap zu einer der ersten dezentralen Börsen auf der neu eingeführten Binance Smart Chain (BSC), die später in „BNB Smart Chain“ umbenannt wurde. Einige Benutzer des Netzwerks strömten zu PopcornSwap, um Liquidität einzuzahlen, in der Hoffnung, von den hohen Handelsvolumina zu profitieren, die sie bei BSC erwartet hatten. Doch anstatt die erwarteten Rekordrenditen zu erzielen, verloren sie ihr gesamtes eingezahltes Geld. PopcornSwap war ein Fork von Pancakeswap, das wiederum ein Fork von Sushiswap auf Ethereum war. Und zufällig enthielt Sushiswap eine „PreUpgrade“-Funktion, die es Entwicklern ermöglichte, sich selbst als Spender für jeden Liquiditätsanbieter-Token (LP) zu genehmigen, wodurch sie alle vom Protokoll gehaltenen Vermögenswerte abschöpfen konnten.
Zwischen 13:26 Uhr und 17:53 Uhr UTC, 28. Januar 2021, nutzte die BSC-Adresse 0xFd6042Df3D74ce9959922FeC559d7995F3933c55 die oben genannte Funktion, um Abfluss Die Kryptowährung des Protokolls im Wert von 2 Millionen US-Dollar wurde vollständig in die native Münze des Netzwerks, BNB, getauscht. PopcornSwap-LPs hatten alles verloren. Der Angriff endete am 28. Januar um 17:53 Uhr UTC, als Fake_Phishing7 eingeleitet eine letzte Transaktion, bei der 250.913 Binance-gebundene USD-Münzen (USDC) gegen 5.536 BNB getauscht werden. Damit hatte der Betrüger etwa 48.511 BNB im Wert von damals 2 Millionen US-Dollar (und jetzt 10,8 Millionen US-Dollar) an seiner Adresse.
Opfer bitten Binance um Hilfe
Im Zuge des Teppichraubs Opfer gebildet die PopcornRugPull Telegram-Gruppe. Sie forderten sich gegenseitig auf, sich an Binance zu wenden und den Betrug zu melden, und forderten Binance auf, die Adresse des Betrügers einzufrieren, bevor Gelder ausgezahlt werden könnten. Einige Benutzer glaubten, dass Binance die private Wallet-Adresse des Betrügers einfrieren könnte. Andere argumentierten, dass dies unmöglich sei, da eine zentralisierte Börse eine private Wallet-Adresse nicht einfrieren könne.
Verwandt: Binance drängt auf neue Stablecoins und bestätigt den Plan, die BUSD-Unterstützung einzustellen
Die Börse ergreift Maßnahmen
Am 29. Januar 2021 reagierte Binance auf eines der PopcornSwap-Opfer. Ein Benutzer, der sich „Richie“ nennt, hat ein Bild der E-Mail gepostet, die er erhalten hat. Darin gab der Binance-Kundendienstmitarbeiter fälschlicherweise an, dass „die Brieftasche des Betrügers eingefroren wurde“. Der Kundendienstmitarbeiter forderte Richie und alle PopcornSwap-Benutzer auf, geduldig zu sein, „bis die gesamte Situation von den Behörden geklärt ist“.
Doch bis Oktober 2022 blieben die gestohlenen Gelder unbeweglich und alle Versuche, den Kundenservice zu einer Antwort zu bewegen, wurden mit Serienbriefen beantwortet, in denen die Benutzer aufgefordert wurden, sich an die Polizei zu wenden. Die Opfer von PopcornSwap waren verwirrt über die scheinbar gleichgültige Reaktion der Börse auf die Rückerstattungsanfragen der Benutzer. Blockchain-Daten zeigen jedoch, dass Binance zum Zeitpunkt dieser Beschwerden weder im Besitz der gestohlenen Gelder war noch mit der Organisation verbunden war, die das Geld der Benutzer gestohlen hat.
Entgegen der Aussage des Kundendienstmitarbeiters von Binance zeigen Daten von BNB Smart Chain, dass die Adresse des Betrügers nicht vor dem 6. Oktober 2022 eingefroren wurde. Stattdessen verblieben die Gelder auf dem Konto des Angreifers und wurden nie auf eine zentrale Börse eingezahlt oder überbrückt ein anderes Netzwerk. Der Betrüger konnte seine gestohlene Beute nicht auszahlen und profitierte nie von dem Angriff. Dieses Scheitern war jedoch auf die mangelnde Initiative des Betrügers selbst zurückzuführen und nicht auf eine von Binance durchgeführte Einfrieraktion.
Das Einfrieren am 6. Oktober 2022
Am 6. Oktober 2022 wurde die BSC Token Hub-Brücke bei einem Angriff völlig unabhängig vom PopcornSwap-Betrug zerstört ausgebeutet für über 570 Millionen US-Dollar. Der Angreifer nutzte eine Lücke im Bridge-Code, um 2 Millionen BNB auf der Smart Chain auszugeben, ohne sie zuvor auf der Beacon-Chain-Seite der Bridge einzuzahlen. Dies bedeutete, dass das Gesamtangebot an BNB auf BSC um 2 Millionen stieg.
Der Angreifer leitete das ausgenutzte BNB im Wert von 100 Millionen US-Dollar sofort an andere Netzwerke weiter und machte die Gelder damit praktisch außerhalb der Reichweite der BSC-Validatoren. Als Antwort darauf BSC-Entwickler vorgeschlagen ein Hard Fork des Netzwerks, der die Brücke lahmlegen und die Adresse des Angreifers einfrieren würde. Während der Ausarbeitung dieses Vorschlags hat das Team auch eine Zeile in den Code eingefügt, die die Adresse des PopcornSwap-Betrügers einfriert.
Dieses Upgrade wurde von allen Validatoren der BNB Chain einstimmig genehmigt. Infolgedessen wurde den Adressen des Bridge-Ausnutzers und des PopcornSwap-Betrügers die Durchführung ausgehender Transaktionen nach dem 6. Oktober 2022 untersagt. Der neue Vorschlag enthielt jedoch keinen Code zur Übertragung der eingefrorenen Gelder an eine andere Adresse. Opfer sagen, dass Binance mehr hätte tun können, um den Vorfall abzumildern.
11/ Positiv zu vermerken ist, dass Binance das Wallet und BNB eingefroren hat, als es zu einem erheblichen Hack kam, was ein positiver Schritt ist. Das anschließende Schweigen und die mangelnde Kommunikation bezüglich der eingefrorenen BNB geben jedoch Anlass zur Sorge. Wir verdienen Antworten.
— neonmatrixbox (@neonmatrixbox) 26. Juni 2023
Binance antwortet
In einem Gespräch mit Cointelegraph am 31. August bestätigte ein Vertreter von Binance, dass der Vorschlag vom 6. Oktober 2022, die Adresse 0xFd6042Df3D74ce9959922FeC559d7995F3933c55, auch bekannt als „Fake_Phishing7“, einzufrieren, von Binance gemacht wurde. Der Vertreter bestätigte auch, dass es sich lediglich um einen Vorschlag handele, der ohne Zustimmung der Validatoren nicht umgesetzt werden könne. In diesem Fall wurde der Vorschlag von allen Netzwerkvalidatoren einstimmig angenommen. Sie erklärten:
„Auf Wunsch der PopcornSwap-Opfer schlug Binance vor, die Adresse des Angreifers im Oktober 2022 zusammen mit der des BNB-Bridge-Angreifers auf die schwarze Liste zu setzen, was vom BNB-Chain-Team eingereicht und von Netzwerkvalidatoren genehmigt wurde.“
Binance bestätigte außerdem in Übereinstimmung mit Blockchain-Daten, dass die Gelder nie in den Besitz von Binance übergegangen seien. „Wir können bestätigen, dass der Betrüger keine Gelder an Binance überwiesen hat und wir keine Kontrolle über die Gelder haben“, erklärten sie. „BNB Chain ist ein Open-Source- und dezentrales Ökosystem; Wallets und/oder deren Gelder können nicht beliebig eingefroren werden [and] Governance-Entscheidungen werden von der Gemeinschaft koordiniert.“
Binance behauptete, dass die Ermittlungen noch nicht abgeschlossen seien und dass die Börse bereit sei, der Polizei zu folgen, wenn sie helfen könne: „Dieser Fall wird weiterhin untersucht und unser Ermittlungsteam ist jederzeit bereit, die Strafverfolgungsbehörden bei der Verfolgung der Verantwortlichen zu unterstützen.“ “ hieß es.
Der Pocornswap-Betrug: eine warnende Geschichte
Opfer des PopcornSwap-Betrugs verloren dadurch über 2 Millionen US-Dollar ihres hart verdienten Geldes. Als sie sahen, dass Binance der Entwickler von BNB Smart Chain war, wandten sie sich hilfesuchend an Binance. Die Börse weigerte sich zu helfen und verwies auf den dezentralen Charakter von Blockchains. Anschließend änderte Binance jedoch den Kurs und fror mit Zustimmung der BNB-Chain-Validatoren die Privatadresse des Betrügers ein.
Der PopcornSwap-Betrug dient auch als warnendes Beispiel für die Risiken der Verwendung intelligenter Verträge. Wenn ein Smart Contract eine Lücke enthält, die es einem Angreifer ermöglicht, Benutzergelder abzuschöpfen, müssen die Opfer nach Abschluss des Angriffs hart darum kämpfen, von den Validatoren eine Entschädigung zu erhalten, da Forks einer Blockchain im Wesentlichen eine einstimmige Zustimmung erfordern, um implementiert zu werden. Das ist die Natur von Blockchains. Beachten Sie außerdem, dass Unternehmen trotz ihrer dezentralen Ansprüche tatsächlich die Kontrolle über die Vermögenswerte der Benutzer ausüben können, wenn sie dies wünschen.
Cointelegraph-Herausgeber Zhiyuan Sun hat zu dieser Geschichte beigetragen.
Verwandt: Multichain-Opfer suchen nach Antworten im 1,5-Milliarden-Dollar-Exploit, während neue Beweise auftauchen