X Player a été victime d'une attaque de 717 000 $ similaire à celle de PGNLZ.

La vague d'attaques dans le monde des cryptomonnaies se poursuit, et cette fois-ci, c'est le projet X Player qui en est victime. Selon un rapport de CertiK Alert, le système de surveillance a détecté une vulnérabilité dans le mécanisme de destruction des jetons du contrat, qu'un attaquant a exploitée pour dérober environ 717 000 $. L'attaque a eu lieu sur la blockchain BNB Chain, et l'auteur a accédé aux fonds en manipulant les pools de liquidités.

Les détails de l'incident révèlent que l'attaquant a exploité la fonction DynamicBurnPool, dont l'accès était restreint (propriétaire, staking, adresses de partage de nœuds et marketing). Cependant, en raison d'une erreur d'implémentation, l'attaque a permis la mise à jour et la synchronisation de la paire de jetons, entraînant une vidange complète du pool de liquidités. Dans le code fourni, une condition « require » avec vérification de l'expéditeur est visible, mais comme le soulignent les analystes, cela a créé de multiples points de défaillance, permettant ainsi la vidange de la totalité du pool de liquidités. La transaction d'attaque est enregistrée sur CertiK Skylens.

Cette faille présente des similitudes frappantes avec le récent piratage de PGNLZ sur la BNB Chain, où l'attaquant a exploité une vulnérabilité de type « burn pair » pour exécuter des transactions inversées doubles et dérober environ 100 000 $. Dans le cas de PGNLZ, l'attaquant a d'abord vidé les tokens, puis manipulé le prix du PGNLP, extrayant ainsi des USDT du pool de liquidités. Les analystes de CertiK notent que l'attaquant de X Player présente des similitudes avec l'auteur de l'attaque PGNLZ, ce qui pourrait indiquer qu'il s'agit du même pirate ou d'une méthodologie similaire.

Des analyses communautaires supplémentaires, comme celles de Wesley Wang et n0b0dy, mettent en évidence l'utilisation de prêts flash pour manipuler les prix lors d'une seule transaction, entraînant des pertes considérables, jusqu'à 964 600 USDT selon certaines estimations. Les critiques soulignent les problèmes de contrôle d'accès : quatre points de défaillance potentiels dans une fonction susceptible d'épuiser le pool constituent une erreur grave. Ceci souligne la nécessité d'audits approfondis des contrats intelligents, en particulier dans les projets DeFi.

Dans le contexte plus large du marché, de tels incidents nous rappellent les risques inhérents à l'écosystème BNB Chain, où des vulnérabilités similaires liées aux paires de destruction de jetons ont déjà été exploitées. CertiK recommande aux développeurs d'utiliser des oracles externes et de renforcer leurs contrôles afin d'éviter de telles attaques à l'avenir. Aux investisseurs : vérifiez systématiquement les contrats et évitez les transactions suspectes.