xKingdom: Cách mạng hóa SocialFi và GameFi 2.0 trên Arbitrum
xKingdom kết hợp SocialFi và GameFi, cung cấp dịch vụ xây dựng vương quốc, nâng cấp anh hùng, phần thưởng Twitter và hệ sinh thái kiếm tiền đa dạng.
BrianĐăng nhập/ Đăng ký
Kế hoạch “thoát hiểm” của xKingdom được tiết lộ
Theo dõi
xKingdom tuyên bố là nền tảng SocialFi và GameFi dựa trên Arbitrum. Trên nền tảng này, người dùng có thể xây dựng một "vương quốc" trên nền tảng xã hội X và nhận phần thưởng bằng cách tương tác với các tweet, tham gia truy tìm kho báu và các nhiệm vụ khác. Dự án có 3 hợp đồng ERC-20 và 1 hợp đồng NFT.
Vào ngày 6 tháng 1 năm 2024, nhóm dự án xKingdom đã đánh cắp quỹ cộng đồng và xóa trang web của họ và tất cả mạng xã hội đều biến mất. Vụ lừa đảo thoát xKingdom dẫn đến tổng thiệt hại 1,2 triệu đô la và là một trong những vụ lừa đảo thoát tồi tệ nhất xảy ra trong vài tháng qua.
Tổng quan về sự kiện
Để tham gia xKingdom, trước tiên người dùng phải thế chấp ETH để cho XKING vay. Theo hồ sơ tương tác trên chuỗi, người tham gia có thể đổi XKING lấy XCOIN và nhận XCROWN. Tài liệu giải thích mối quan hệ giữa các hợp đồng ERC-20 này đã bị xóa, nhưng sau khi nghiên cứu, chúng tôi tin rằng cả XCOIN và XCROWN đều có thể được thay thế bằng XKING.
Để có được XKING, người dùng cần gọi hàm loan() trên hợp đồng TransparentUpgradableProxy 0xdcd...7275e.
Chức năng này sẽ chuyển ETH của người dùng sang hợp đồng trên và sau đó lấy XKING từ hợp đồng quản trị viên 0x445...24a13. Mặc dù hợp đồng 0x4456 chưa được xác minh nhưng chúng ta có thể đánh giá vai trò của nó thông qua các hàm setConfig() và GrantRole().
Quy trình trên hoạt động bình thường trong giai đoạn đầu cho đến khi số lượng ETH được gửi trong hợp đồng TransparentUpgradableProxy vượt quá 500.
Dòng thời gian "Thoát"
- < p style ="text-align: left;">Ngày 29 tháng 12 năm 2023: Ủy quyền
Khi phân tích hợp đồng 0x445...24a13 (rất có thể là hợp đồng quản trị viên), chúng tôi nhận thấy rằng nhóm dự án đã gọi GrantRole() nhiều lần vào ngày 29 tháng 12 năm 2023, thêm MINTER_ROLE ( 0x9f2...956a6) cho mỗi hợp đồng.
Khi dịch ngược hợp đồng quản trị viên, chúng tôi nhận thấy rằng MINTER_ROLE là điều kiện tiên quyết để thực thi nhiều chức năng, bao gồm cả ClaimETH.
Các hình ảnh sau đây là một số trường hợp:
Phân tích dịch ngược của hợp đồng TransparentUpgradableProxy cho thấy hợp đồng này cũng có hợp đồng quản trị viên proxy 0x8d3...4982a.
Ngày 4 tháng 1 năm 2024: Nâng cấp
Ngày 6 tháng 1 năm 2024: Chuyển nhượng tài sản
Vào lúc 12:52 chiều và 13:08 chiều theo giờ UTC, xKingdom đã gọi nâng cấpAndCall() hai lần để nâng cấp hợp đồng TransparentUpgradableProxy đã đề cập ở trên.
Chúng tôi không tìm thấy thay đổi mới nào trong hai bản nâng cấp này trực tiếp dẫn đến việc thoát khỏi các trò gian lận. Rủi ro tập trung xung quanh các chức năng ClaimETH và RetrieveETH luôn tồn tại trước khi nâng cấp hợp đồng.
Tuy nhiên, thời điểm nâng cấp này rất thú vị: Nó được thực hiện trong bối cảnh một loạt tương tác không thành công giữa người triển khai hợp đồng và hợp đồng xKingdom.
Một lời giải thích có thể là nhóm dự án đã cố gắng chứng minh với cộng đồng rằng họ đang khắc phục một số vấn đề xảy ra trong dự án bằng cách nâng cấp hai lần. Nội dung của hai bản nâng cấp này bao gồm các sửa đổi đối với hàm addLiquidity() và hoàn nguyên(), nhưng lệnh gọi hợp đồng được nâng cấp vẫn không thành công.
Trong hành động "thoát" cuối cùng, nhóm dự án đã gọi requireETH() và chuyển 558,3 ETH được chuyển từ hợp đồng TransparentUpgradableProxy tới địa chỉ 0xeF7...6A13D.
Sau khi chuyển đổi một phần ETH bị đánh cắp thành đồng tiền ổn định, nhóm dự án đã chuyển 1,02 triệu USDT và 99 ETH qua Liên kết với Ethereum mạng. Sau đó, số tiền này được chuyển đến 0xCA1...474c6, người này đã đổi số tiền bị đánh cắp lấy ETH và gửi chúng vào Tornado Cash.
Tóm tắt sự kiện
Sự kiện xKingdom tính đến thời điểm hiện tại là năm 2024 The vụ lừa đảo thoát lớn thứ hai xảy ra.
Sáu vụ lừa đảo như vậy đã xảy ra vào năm 2024, với tổn thất vượt quá 4 triệu USD. Thông thường khi thị trường khởi sắc, nhiều kẻ lừa đảo ẩn mình trong bóng tối sẽ lợi dụng cảm xúc tích cực của người dùng để thực hiện hành vi lừa đảo.
Để ngăn chặn tốt hơn những sự cố như vậy và nâng cao niềm tin của cộng đồng, CertiK cung cấp cho nhóm dự án một quy trình KYC nghiêm ngặt và toàn diện. Sau khi hoàn thành chứng nhận, dự án có thể nhận được huy hiệu KYC trên trang Skynet, đại diện cho chứng nhận độc lập của CertiK đối với nhóm dự án.
Có được sự hiểu biết rộng hơn về ngành công nghiệp tiền điện tử thông qua các báo cáo thông tin và tham gia vào các cuộc thảo luận chuyên sâu với các tác giả và độc giả cùng chí hướng khác. Chúng tôi hoan nghênh bạn tham gia vào cộng đồng Coinlive đang phát triển của chúng tôi:https://t.me/CoinliveSG
Thêm bình luận
Đăng nhậpđể lại nhận xét tuyệt vời của bạn…
0 Bình luận
Sớm nhất
Tải thêm bình luận
Cập nhật trực tiếp
- Insider whale from October 11 crash deposits ETH to AaveTăng giáBearish
- ارتفع الذهب يوم الاثنينTăng giáBearish
- Why Is Crypto Down Today? – December 1, 2025Tăng giáBearish
- Grayscale Set to Launch First Spot Chainlink ETFTăng giáBearish
- بدأت الأسواق الأوروبية شهر ديسمبر على انخفاضTăng giáBearish
- Kazakhstan Eyes Up To $300 Million Crypto InvestmentTăng giáBearish