Через 10 минут после моего прошлого поста ChainSwap опубликовали PostMortem, чучуть недождался следующей серии оффициальных обьяснений об атаке
И похоже что они действительно допустили глупейшую ошибку в контрактах
bscscan.com/address/0x089165ac9a7bf61833da86268f34a01652543466Можете сами проверить. Можно ввести абсолютно(!) любой новый адрес, и контракт скажет что он может вывести 500к токенов, ну не прекрасно ли? Любому желающему по 500к токенов! Только подписать транзанкцию надо
ChainSwap же пишут что якобы идёт увеличение числа доступных токенов для некорректных адресов
chain-swap.medium.com/chainswap-exploit-11-july-2021-post-mortem-6e4e346e5a32На деле же всё гораздо проще, и такой банальный баг можно было бы проверить на простейшем тестировании контрактов, но зачем тестировать контракты, когда можно хуяк, хуяк и в продакшн?
Гитхаб у них совсем смешной: ни тестов, ни обновлений, никакой валидации. Проекты с таким гитхабом можно сразу пропускать мимо
github.com/chainswap/contracts/tree/a27a3ee909