Rugdoc заявляют, что наткнулись на Beetsfarm при помощи своего сканера, отбирающего неверифицированные контракты. Верификация контракта позволяет подтвердить, что скомпилированный код соответствует тому, что было загружено в блокчейн. Под давлением сообщества Beetsfarm впоследствии все же верифицировали свой контракт, «однако он по-прежнему содержал наибольшее число тревожных сигналов из всех виденных нами примеров». Верификация не равносильна аудиту, который в данном случае не проводился.
Контракт Beetsfarm позволял любому желающему перемещать активы между кошельками пользователей и самим проектом. Другими словами, однажды предоставив разрешение контракту, пользователь разрешал любому постороннему переводить дополнительные активы из своего кошелька в адрес проекта.
Также в проекте имелась функция срочного вывода активов, работавшая похожим образом, но с одним важным отличием. Вместо вывода активов на адрес пользователя, которому соответствовал параметр «_wallet», они переводились на адрес «wallet», которым был обозначен кошелек самих создателей проекта.
Хотя Beetsfarm вышел непримечательным проектом, злоумышленникам удалось украсть у пользователей весомую сумму. В этом им помогла функция неограниченного перевода активов, которые затем при помощи функции срочного вывода были перемещены в их собственный кошелек.
В связи с произошедшим Rugdoc рекомендуют пользователям не взаимодействовать с неверифицированными смарт-контрактами и никогда не предоставлять разрешения на операции, которые они не готовы доверить проекту. Beetsfarm в своем Twitter продолжают завлекать клиентов, удаляя старые сообщения, под которыми их обвиняют в мошенничестве, и размещая вместо них новые.
It happened...
https://t.co/ZsiObNQ375 finally rugged
0x369CaBe555716a3349d537DE71b3720D41aC1a1A
this is the wallet that they used.
Total funds stolen: $100K and growing@0xPolygon
I hope you revoked the approval and withdrew your funds after our rug alert.
— Rugdoc.io (@RugDocIO) June 17, 2021
