Проблема возникла из‑за встроенной функции ATM, которая конвертировала часть переводимых токенов в BSC‑USD во время транзакций, предположили специалисты по безопасности. В отличие от стандартной процедуры перевода токенов, которая просто перемещает активы между кошельками, взломанный контракт ATM выполнял автоматическую принудительную конвертацию части токенов во время транзакций. В итоге на кошелек пользователей приходили не только ATM, но еще и BSC‑USD
В обычных условиях контракт конвертировал 20% перемещаемых одной транзакцией токенов в BSC‑USD. По версии CertiK, хакеры смогли несколько раз активировать эту функцию в рамках одного перевода токенов и таким образом вывели дополнительные средства из протокола. То есть вместо одного автоматического зачисления 20% конвертируемых токенов они смогли получить несколько таких зачислений подряд: система снова и снова запускала конвертацию и зачисляла средства на счет злоумышленников. Специалисты по безопасности считают, что ошибка была изначально заложена в коде функции, то есть сам механизм был сырым и не протестированным должным образом.
We have seen an exploit of ~$243K on ATM token. The transferFrom() includes logic to swap 20% transfer amount of ATM for BSC-USD, so the attacker can repeatedly swap out extra after transfer.https://t.co/mf6uhujZgK
Stay vigilant! pic.twitter.com/hwN1B3Xt0m
— CertiK Alert (@CertiKAlert) June 4, 2026
ATM пока не сообщал об инциденте. Точные масштабы кражи неизвестны.
На днях произошел взлом проекта TesseraDAO, тоже работающего на блокчейне BNB Chain. Злоумышленник создал 99 млн фейковых токенов TSR и быстро продал их, что привело к обесцениванию монеты. За несколько дней до этого неизвестный вывел из криптомоста Alephium TokenBridge в сети Эфириума активы на сумму около $815 000. Частью атаки была эмиссия 13,76 млн необеспеченных обернутых токенов ALPH.
Источник: bits.media