Een lek in een smart contract van ShiMama zet een liquidity pool op BNB Chain in korte tijd volledig op zijn kop. Volgens analyse van SlowMist misbruikt een aanvaller een functie zonder toegangscontrole, waarna de prijsverhouding in de AMM hard scheef trekt en een arbitragekans ontstaat. De aanvaller gaat er uiteindelijk vandoor met ongeveer 52,98 WBNB netto, terwijl de pool een groot deel van zijn liquiditeit verliest. De aanval laat opnieuw zien hoe gevaarlijk een ogenschijnlijk simpele fout in permissies kan zijn, zeker wanneer een protocol ook nog extreme parameterinstellingen toelaat.
Een burn functie zet de hele pool scheef
De kern van het probleem zit volgens SlowMist in het contract ShiMamaProtocol op adres 0x5049d10378356fde0b44c93fa7bb75836f10b49a. Daarin zit de functie executePairBurn(uint256 referenceIn, uint256 minPullFromPair, uint256 deadline). Die functie controleert niet wie haar aanroept. Daardoor kan in feite iedere externe partij de burn triggeren.
Dat wordt extra riskant doordat de parameter pairBurnBpOnSell op 10000 staat, wat neerkomt op een burnratio van 100%. De aanvaller gebruikt vervolgens een kunstmatig hoge referenceIn waarde om bijna alle Shimama tokens uit de LP pool te trekken en te verbranden. Zodra de Shimama balans in die pool bijna naar nul zakt, raakt het prijsmechanisme van de AMM volledig ontregeld. Daardoor wordt het ineens mogelijk om met een kleine hoeveelheid Shimama een veel grotere waarde aan Shibaba uit de pool te halen.
Zo verloopt de aanval op BNB Chain
De wallet van de aanvaller had vooraf al ongeveer 30,78 Shimama in bezit. Daarna volgt een strak opgebouwde aanval. Eerst wordt een apart attack contract uitgerold. Vervolgens haalt de aanvaller via een flash loan ongeveer 374.585 WBNB op. Met dat kapitaal worden extra Shimama tokens opgehaald, waarna de poolbalans wordt gecontroleerd en de kwetsbare burn functie wordt uitgevoerd.
Op dat moment slaat de prijsverstoring toe. De aanvaller voert daarna een arbitrageswap uit van Shimama naar Shibaba en uiteindelijk naar WBNB. Daarna wordt de flash loan terugbetaald en blijft er volgens SlowMist ongeveer 52,98 WBNB winst over, na aftrek van gaskosten en de initiële tokenkosten. De transactiedetails zijn terug te zien op BscScan.
Waarom deze fout zo hard aankomt
Deze aanval draait niet om een ingewikkelde zero day, maar om een basisfout met enorme gevolgen. Zonder toegangscontrole op een gevoelige functie kan een buitenstaander direct ingrijpen in de reserves van een pool. Combineer dat met agressieve instellingen en een flash loan, en een protocol geeft de sleutels van zijn eigen liquiditeit praktisch weg. Zulke risico’s spelen vaker bij crypto platformen en on chain protocollen waar beveiliging niet op orde is.
SlowMist noemt de analyse zeer overtuigend en baseert zich op zowel geverifieerde code als transaction traces. Voor projecten op BNB Chain en daarbuiten is dit opnieuw een duidelijk signaal dat permissies, burn logica en poolinteracties niet alleen moeten werken, maar ook bestand moeten zijn tegen misbruik onder extreme omstandigheden. Eerdere incidenten rond beveiliging en risico’s in de sector laten ook zien hoe belangrijk bescherming tegen misbruik blijft, zoals bij deze recente hackzaak en bredere waarschuwingen rond crypto oplichting.
Wil jij altijd op de hoogte blijven van het laatste crypto nieuws? Volg ons dan gratis op Google Nieuws.
10% cashback met de Bybit Card, tot $40 bonus en 10% korting op fees
Bybit EU heeft haar Bybit Card in Europa gelanceerd, waarmee je bij meer dan 90 miljoen winkels kan betalen met je crypto, inclusief een 10% cashback. Om dit te vieren hebben zij een speciale promotie:
- 10% cashback op al je aankopen tot 150 EUR met de Bybit Crypto Card (meer informatie en voorwaarden)
- 10% korting op de handelskosten (30 dagen geldig, zichtbaar tijdens registratie)
- Tot $40 bonus na storting van $400 (meer informatie en voorwaarden)
Alle bovengenoemde bonussen zijn deze maand tegelijkertijd geldig.
Bybit beschikt over een MiCAR licentie en mag officieel in Europa opereren onder de nieuwe regels.
Om aanspraak te maken op de $40 is een storting van minimaal $400 vereist. Bij een storting van minimaal $100 ontvang je $20 (ongeveer €18,50). Alle gebruikers ontvangen de 10% korting op de handelskosten (geldig voor 30 dagen). De 20% cashback met de Bybit Card moet eerst geactiveerd worden.
Bybit heeft wereldwijd meer dan 70 miljoen gebruikers en meer dan 2 miljoen Bybit Card gebruikers. Registreer een account via onderstaande knop en profiteer van de welkomstbonus. Je vindt de voorwaarden op de actiepagina.