นับตั้งแต่วันที่ 12 เมษายน 2021 มีบุคคลที่สามารถเข้าถึงบัญชีบน Binance Smart Chain เลขที่ 0x35f16a46d3cf19010d28578a8b02dfa3cb4095a1 (บัญชีผู้ดูแลระบบ PancakeSwap ) และได้ขโมยเงินจาก PancakeSwap Lottery Pool ออกไปทั้งสิ้น 59,765 cake (เทียบเท่ากับ 1,800,000 ดอลลาร์ หรือกว่า 56 ล้านบาท)
ผู้โจมตีได้ใช้ช่องโหว่ประมาณสองถึงสามครั้ง และไม่นานหลังจากการโจรกรรมครั้งสุดท้าย ลอตเตอรีของ Pancakeswap ก็ถูกระงับและบัญชีนี้ถูกแบนโดย PancakeSwap บ่งบอกชัดเจนว่า PancakeSwap รับรู้ถึงการขโมยในขณะนั้น
อย่างไรก็ตาม ผู้เขียนรายงานได้ตัดสินใจรออีกประมาณสองสามสัปดาห์ ดังนั้น PancakeSwap จะมีเวลาเพียงพอในการรายงานการโจรกรรม และครอบคลุมความสูญเสียของผู้เล่นอันเนื่องมาจากเหตุการณ์นี้ แต่น่าเสียดายที่ยังไม่มีการรายงานเหตุการณ์ที่เกิดขึ้น ดังนั้นนี่คือผลการสอบสวนจากผู้เขียนบทความ
ผู้ดูแลระบบ PancakeSwap ใช้การ manual ในการเรียก lottery contract ด้วยตนเองเช่น: function drawing(uint256 _externalRandomNumber) external onlyAdmin
function enterDrawingPhase() external onlyAdmin
เขาดำเนินการสองสามครั้งพร้อมกัน และวางทั้งหมดไว้ในบล็อกเดียวกัน นั่นทำให้เขามีโอกาสทำนายหมายเลขแจ็คพอตได้ เนื่องจากตัวสร้างตัวเลขสุ่มตาม block hash ก่อนหน้านี้
คงต้องรอดูกันต่อไปว่าทาง pancake จะออกมากล่าวถึงเรื่องนี้อย่างไร หรือนี่จะเป็นสาเหตุที่ทำให้ทาง Pancake ยังปิดระบบ lottery มาจนถึงทุกวันนี้
อ้างอิง : LINK
