Avertissement de sécurité Web3丨Soyez prudent avec les « points chauds » : explication détaillée de l'arnaque à la sortie d'OrdiZK

Le 5 mars, l'équipe de sécurité de CertiK a découvert qu'OrdiZK avait orchestré une arnaque à la sortie. Lors de cet incident, les fraudeurs ont utilisé des méthodes telles que la thésaurisation des frais de transaction, la vente malveillante et l'abus des droits de gestion pour voler environ 1,4 million de dollars de fonds d'utilisateurs.

Cet incident est la 6ème arnaque à la sortie survenue en 2024. À ce jour, les pertes totales résultant des escroqueries à la sortie de 2024 ont dépassé 64 millions de dollars.

Aperçu de l'événement

OrdiZK prétend être un pont inter-chaînes de confidentialité entre le réseau Ethereum et le réseau Bitcoin. Ils ont également affirmé permettre des opérations inter-chaînes entre d'autres réseaux tels que Solana et Avalanche, selon leur annonce supprimée depuis.

Le déployeur du projet a établi deux contrats de jetons OZK et plusieurs contrats de jalonnement. Le financement initial provient de ChangeNOW, que les déployeurs déposent dans FixFloat. Actuellement, nous ne sommes pas en mesure de confirmer avec précision l'identité de l'adresse d'origine des fonds.

Le nom du projet d’OrdiZK couvre deux points chauds actuels de l’industrie et a attiré une large attention. Une fois le projet lancé, les utilisateurs seront incités à participer en favorisant des rendements élevés. Dans une annonce supprimée depuis, ils ont affirmé que le rendement annualisé des mises d’OZK atteignait 321,8 %, ce qui est un chiffre impressionnant.

Scam Timeline

OrdiZK a annoncé via son compte X le 21 février qu'il prévoyait de migrer le contrat vers la version V2. Le nouveau contrat devrait être lancé le 26 février et permettra aux utilisateurs de migrer jusqu'au 4 mars.

Après avoir étudié le mécanisme de migration, nous avons constaté que lorsque les utilisateurs appellent la fonction « migrer », leurs jetons V1 OZK seront transférés vers le portefeuille du déployeur (plus tard étiqueté Fake_Phishing323133), après quoi ils recevront des jetons V2 OZK. Voir le cas ci-dessous :

La conséquence substantielle de cette migration est que l'adresse du déployeur a commencé à accumuler une grande quantité de tokens OZK. Il convient de noter que cette migration a été annoncée peu de temps après la mise en ligne du projet OrdiZK. Les responsables ont affirmé que cette migration visait à résoudre une petite erreur découverte lors de l'audit.

Le 5 mars, après la date limite de migration, les déployeurs d'OrdiZK ont vendu 489 millions d'OZK de l'ancien contrat au prix de 35,65 ETH (environ 134 000 $), entraînant un dérapage de prix allant jusqu'à 98 %.

À cette époque, les utilisateurs n'avaient peut-être pas réalisé qu'ils avaient été victimes d'une arnaque. Car selon les nouvelles officielles du projet, la liquidité après la vente des anciens jetons devrait être ajoutée au nouveau contrat de jetons.

Cependant, ces fonds ne sont pas ajoutés du contrat V1 au pool de liquidités de V2, mais restent dans le portefeuille du déployeur.

Le 5 mars, dans les 12 heures suivant la vente des jetons V1, le déployeur a vendu 454 millions d'OZK supplémentaires dans le nouveau contrat pour 57,64 ETH (environ 214 000 $), provoquant 98 % du dérapage du pool de liquidité OZK V2.

Par la suite, le déployeur a appelé la fonction EmergencyWithdraw à deux reprises et a retiré respectivement 57,68 ETH et 0,90 ETH du contrat de gage OZK.

En plus de deux ventes massives et de retraits d'urgence de promesses de don, les déployeurs ont également activement accumulé les frais de transaction pendant que le projet était en ligne.

Selon l'estimation de l'équipe de sécurité de CertiK, les pertes d'OrdiZK grâce aux différentes méthodes ci-dessus dans cette arnaque à la sortie s'élevaient à environ 1,4 million de dollars américains.

Funding Movement

OrdiZK dispose également de deux adresses de portefeuille de projets supplémentaires, un portefeuille marketing et un portefeuille financier. Le 12 janvier, 70,5 ETH ont été injectés dans le portefeuille marketing, et celui-ci contient toujours 46,66 ETH. Le portefeuille de trésorerie a reçu une injection de capital de 75 ETH le 15 janvier, qui a été utilisée pour créer le contrat de gage, et détient actuellement encore 70 ETH dans le portefeuille.

Le projet détient actuellement un total d'environ 1,47 million de dollars d'actifs dans son portefeuille, comme suit :

Déployeur ozk : 277,89 ETH (environ 1 037 125 $)

ozk-treasury.eth : 70,59 ETH (environ 263 482 $)

oz k- marketing.eth : 46,66 ETH (environ 173 899 $)

Écrit à la fin

À l'exclusion de l'incident BitForex qui a causé une perte de 56,5 millions de dollars américains, l'arnaque à la sortie d'OrdiZK est le plus grand événement d'évasion déficitaire cette année. Avec l’émergence de normes expérimentales innovantes telles que ERC-404 et la popularité de l’écosystème Bitcoin atteignant un niveau record, nous pourrions assister à davantage d’escroqueries à la sortie à fort impact en 2024.

CertiK continuera de surveiller les progrès ultérieurs de cette arnaque et continuera à vous présenter les derniers développements en matière de surveillance de la sécurité à l'avenir pour aider la communauté à rester vigilante et à assurer la sécurité de l'industrie.

Si nécessaire, vous pouvez continuer à prêter attention aux informations sur le retrait d'OrdiZK de l'arnaque et aux tendances financières ultérieures du groupe de fraude dans CertiK SkyInsights.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!