- дата публікації
Використання токена ATM на ланцюгу BNB: $243,500 виведено через приховану вразливість обміну
- джерело
- сайт
- cryip.co
- відкрити джерело
Відносно невідомий токен ATM, розгорнутий на $BNB Smart Chain, став жертвою вразливості смарт-контракту.
Зловмисник викрав близько 243,500 доларів, скориставшись нестандартною логікою в функції transferFrom() токена. Інцидент був виявлений платформою моніторингу безпеки TenArmor 4 червня 2026 року.
Сповіщення підкреслили, що індивідуальні механіки токенів, створені для збору зборів, забезпечення ліквідності або винагород, можуть мати серйозні вразливі місця при неналежному захисті. Аналіз з CertiK вказав, що основна проблема полягала в реалізації функції transferFrom() у контракті токена.
Замість стандартного переказу, функція автоматично активувала обмін 20% від суми переказу на BSC-USD через маршрутизатор децентралізованої біржі. Це приховане поводження дозволило зловмиснику неодноразово ініціювати перекази, що забезпечували значно більше значення, ніж нормальні схвалення повинні були дозволяти.
Адреса зловмисника пов'язана з попередніми атаками на контракти токенів з 2025 року. Цей інцидент додав до тривожної хвилі експлуатацій на $BNB Chain.
Лише за кілька днів до цього TesseraDAO стала жертвою великої атаки, під час якої зловмисник згенерував приблизно 99 мільйонів токенів TSR, які були скинуті, і вивів близько 2.5 мільйона доларів в USDT. Інформації про проект ATM обмаль, немає офіційного вебсайту, технічного опису чи детального плану.
Команда проекту на момент 5 червня 2026 року не випустила жодної офіційної заяви щодо інциденту. Подібні вразливості—не поодинокі.
У травні 2026 року зловмисники використали вразливості в старих ліквідних локерах, викравши приблизно 7.3 мільйона доларів з понад 1400 пулів. Цей інцидент служить класичним прикладом небезпек, пов'язаних з індивідуальними механізмами податку на переказ або автоматичного обміну в контрактах типу ERC-20.
Експерти з безпеки блокчейна постійно попереджають про необхідність ретельного аудиту та перевірки при поєднанні функцій transferFrom() з зовнішніми викликами. Користувачів закликають бути надзвичайно обережними при взаємодії з новими або маловідомими токенами.