ফ্ল্যাশ লোন আক্রমণে $45M চলে গেছে: কীভাবে স্ক্যামাররা প্যানকেক বানির স্মার্ট কন্ট্রাক্ট কোডে দুর্বলতাকে কাজে লাগিয়েছে

এর আগে আজ, ডিফাই ফলন কৃষি সংগ্রাহক, প্যানকেক বানি, আক্রমণকারীর সাথে ফ্ল্যাশ লোন আক্রমণের শিকার হন, যা সেকেন্ডের মধ্যে প্রায় 45 মিলিয়ন ডলার নিয়ে যায়।

লাথি? কিছুই লঙ্ঘন করা হয়নি। আক্রমণকারী দুটি জিনিসের সুবিধা নিয়েছিল: ফ্ল্যাশ loansণ (ডিএফআইতে একটি উদ্ভাবন) এবং একটি ডিএফআই প্ল্যাটফর্মে সফ্টওয়্যার দুর্বলতা।

পটভূমি

বৃহস্পতিবার, 10 মে 34:20 ইউটিসিতে, প্যানকেক বানি, একটি ডিএফআই ফলন কৃষি সমষ্টি এবং বিনেন্স স্মার্ট চেইন (বিএসসি) -এ নির্মিত অপ্টিমাইজার একটি ফ্ল্যাশ লোন আক্রমণের শিকার হয়েছিল যা বনি প্রোটোকলের কোডটি কাজে লাগিয়েছিল। আমরা হ্যাকের বিবরণে প্রবেশ করার আগে, কিছু পরিভাষা আমাদের নিজেদের সাথে পরিচিত হওয়া উচিত:

ফ্ল্যাশ লোন আক্রমণ: ফ্ল্যাশ লোন হল একটি loanণ যা ব্লকচেইনে একটি নতুন ব্লক তৈরি করতে সময়সীমার মধ্যে তৈরি এবং ফেরত দেওয়া হয়। এটি এমন একটি loanণ যার জন্য collaণগ্রহীতার কোন জামানত রাখার প্রয়োজন হয় না। Blockণগ্রহীতা দ্রুত পরিমাণে একটি মুনাফা ফ্লিপ করবে এবং একটি নতুন ব্লক গঠনের আগে প্রাথমিক loanণ ফেরত দেবে। ফ্ল্যাশ লোন আক্রমণের ক্ষেত্রে, স্ক্যামার মার্কেটে হেরফের করতে এবং/অথবা কোডের মধ্যে সফ্টওয়্যার দুর্বলতা কাজে লাগানোর জন্য loanণ নেবে।

অটোমেটেড মার্কেট মেকার্স (এএমএম): যদিও সমস্ত বিকেন্দ্রীভূত এক্সচেঞ্জগুলি এএমএম প্ল্যাটফর্ম নয়, তবে সবচেয়ে জনপ্রিয় DEX এর কিছু। এএমএম প্ল্যাটফর্মগুলি একটি traditionalতিহ্যবাহী অর্ডার বইয়ের পরিবর্তে একটি প্রোগ্রামযুক্ত তরলতা পুল ব্যবহার করে স্বয়ংক্রিয়ভাবে ক্রিপ্টোকারেন্সি লেনদেনের অনুমতি দেয়, যা ক্রেতা এবং বিক্রেতাদের একত্রিত করে।

তরলতা পুল: লিকুইডিটি বলতে বোঝায় যে কত সহজেই একটি সম্পদ অন্য মূল্যে প্রভাবিত না হয়ে অন্যটিতে রূপান্তরিত হতে পারে। এএমএম প্ল্যাটফর্মগুলি বিকেন্দ্রীভূত ট্রেডিং, ndingণদান এবং অন্যান্য আর্থিক কার্যাবলীর সুবিধার্থে একটি স্মার্ট চুক্তির মাধ্যমে তরলতা পুলে তহবিল সংগ্রহ করে। Uniswap বা PancakeSwap- এর মতো বিকেন্দ্রীভূত এক্সচেঞ্জের জন্য, লিকুইডিটি পুলগুলি প্ল্যাটফর্মগুলিকে মসৃণভাবে কাজ করতে সক্ষম করে।

তরলতা প্রদানকারী এবং এলপি টোকেন: লিকুইডিটি প্রদানকারীরা সম্পদ সহ তরলতা পুল সরবরাহ করতে উত্সাহিত হয় যাতে প্ল্যাটফর্মে টোকেন সহজে বিক্রি করা যায়। উদাহরণস্বরূপ, পুলের মধ্যে ট্রেডিংয়ের মাধ্যমে উৎপন্ন ফিগুলির একটি অংশ তারল্য প্রদানকারীদের "পেব্যাক" করতে ব্যবহার করা যেতে পারে। উপরন্তু, যখন তরলতা প্রদানকারীরা একটি পুলে সম্পদ প্রদান করে, তখন এএমএম প্ল্যাটফর্ম স্বয়ংক্রিয়ভাবে একটি এলপি টোকেন উৎপন্ন করবে, যা অন্য ফাংশনেও ব্যবহার করা যেতে পারে - হয় তার স্থানীয় প্লাটফর্মে বা অন্যান্য ডিএফআই অ্যাপে - যাতে তরলতা প্রদানকারীরা এমনকি পেতে পারে অধিক আয়।

মোট মান লকড (টিভিএল): বিকেন্দ্রীভূত অর্থের বৃদ্ধি দেখাতে ডি ফ্যাক্টো মেট্রিক হিসাবে ব্যবহৃত হয়, মোট মূল্য লক করা হয় মূলধনের পরিমাণ যা ডিএফআইতে জমা হয়েছে - প্রায়ই tradingণ জামানত বা তরলতার আকারে একটি ট্রেডিং পুলে।

এতক্ষণ আমরা কী জানি?

প্যানকেক বানি থেকে 1 বিলিয়ন ডলার চুরি হওয়ার পূর্ববর্তী প্রতিবেদনের বিপরীতে, ইগর ইগামবারদিয়েভদ্য ব্লক ক্রিপ্টোর গবেষণা বিশ্লেষক প্রকাশ করেছেন যে প্রকৃতপক্ষে প্রায় $ 45 মিলিয়ন (114,000 WBNB) চুরি হয়েছে। হামলাকারী প্যানকেকসওয়াপ (পিসিএস) এর মাধ্যমে ফ্ল্যাশ লোন ব্যবহার করে।

1/6

আজ, বিএসসিতে বনি ফিনান্স থেকে BNNY টোকেনগুলি $ 1B + র প্রতিপন্ন করা হয়েছিল, যার ফলস্বরূপ $ 40M + চুরি হয়েছিল:

- 114 কে ডাব্লুবিএনবি (40 ডলার)
- 697k BUNNY

এই কারণে, BUNNY-এর দাম $146 থেকে $6👇-এ নেমে এসেছে pic.twitter.com/BBVfWOHgZH

- ইগোর ইগামবারডিয়েভ (@ ফ্র্যাঙ্করিসারার) 20 পারে, 2021

টুইটের একটি সিরিজে, ইগোর আক্রমণকারীর ক্রিয়াগুলিকে ছয়টি ধাপে বিভক্ত করেছেন, যা প্যানকেক বানির দ্বারা নিশ্চিত করা হয়েছিল। ময়নাতদন্তের:

6/6

এই মুহুর্তে, আক্রমণকারী ইতিমধ্যে স্নায়ু সেতুর মাধ্যমে 10.1k ETH ($ 23.5M) এথেরিয়ামে প্রত্যাহার করেছে এবং আরও 14 মিলিয়ন ডলার তাদের BSC ঠিকানায় রয়েছে। pic.twitter.com/h9taC5bcPj

- ইগোর ইগামবারডিয়েভ (@ ফ্র্যাঙ্করিসারার) 20 পারে, 2021

1. 1BNB মূল্যমানের USDT বনি USDT-WBNB ভল্টে জমা করা হয়েছে যাতে শোষণের মঞ্চ তৈরি হয়। এই আমানতের ফলে 9.275 এলপি তৈরি হয়েছিল।
2. ফ্ল্যাশ লোন ব্যবহার করে সাতটি প্যানকেকসওয়াপ পুল থেকে 2.3M BNB ($ 704 মিলিয়ন) এবং ForTube ব্যাংক থেকে 2.9M USDT ধার করেছে।
3. ধাপ 7,700 থেকে উৎপন্ন এলপি টোকেন সহ প্যানকেকস্যাপ ইউএসডিটি-ডব্লিউবিএনবি পুলের অতিরিক্ত 2.9 BNB এবং 1M USDT তারল্য জমা করেছে।
4. প্যানকেকসওয়াপ USDT-WBNB পুলের মাধ্যমে 2.3M BNB USDT- তে লেনদেন, BNB- এর সাথে পুলকে প্লাবিত করা এবং পুলটিতে USDT- এর পরিমাণ উল্লেখযোগ্যভাবে হ্রাস করা।
5. প্যানকেকসওয়াপ ইউএসডিটি-ডব্লিউবিএনবি পুলে এলপি দিয়ে, বনি ফাইন্যান্স বিশ্বাস করেছিল যে শোষক সিস্টেমটিতে প্রচুর পরিমাণে বিএনবি যোগ করেছে, যা সিস্টেমকে 7M BUNNY ($ 1 বিলিয়ন) মিন্টে ট্রিগার করেছে।
6. এক্সপ্লোইটার তখন 4.8M WBNB এবং 2.3M USDT এর জন্য 2.9M BUNNY বিক্রি করেছিল, যা তখন এটি ধাপ 2 এ ধার করা ফ্ল্যাশ loansণ শোধ করতে ব্যবহৃত হয়েছিল।

প্যানকেক বানির "এগিয়ে যান পরিকল্পনা"সমস্ত ভল্টগুলি নিরাপদ এবং কোনও ভল্ট ভাঙা হয়নি৷ যাইহোক, যখন ধাপ 5 থেকে নতুন মিন্ট করা BUNNY বাজারে প্লাবিত হয়, তখন BUNNY এর দাম পড়ে যায়। প্যানকেক বানির TVL-এর একটি অংশ BUNNY-তে রয়েছে, এইভাবে — যদিও ভল্টটি নিজেরাই লঙ্ঘন হয়নি — TVL এখনও হারিয়ে গেছে।

কারা এই হামলায় আহত হয়েছিল?

প্রাথমিক, BUNNY ধারক যারা এই ঘটনা থেকে দুটি উপায়ে সবচেয়ে বেশি ক্ষতিগ্রস্ত হয়েছেন:

• পাতলা বাতাস থেকে 7 মিলিয়ন BUNNY টোকেন তৈরি করা হয়েছে, বিদ্যমান টোকেনগুলি পাতলা করা হয়েছে, BUNNY এর দাম কমিয়ে দিয়েছে।
• বাজারে BUNNY টোকেন বিক্রির কারণে, BUNNY এর তরলতা - যে সহজে BUNNY বাজারে বিক্রি করা যেতে পারে - সম্পূর্ণরূপে জ্যাপ করা হয়েছিল।

তার "গো ফরওয়ার্ড প্ল্যান" -এ প্যানকেক বানি 1) টিভিএল, 2) মার্কেট ক্যাপ এবং 3) যত তাড়াতাড়ি সম্ভব প্রত্যেকের ক্ষতি পুষিয়ে নেওয়ার জন্য তারা যে পদক্ষেপ নিচ্ছেন তা তুলে ধরেছেন।

ফ্ল্যাশ লোন, ফ্ল্যাশ লোন অ্যাটাক এবং ডিএফআই প্ল্যাটফর্মের জন্য এর অর্থ কী?

ফ্ল্যাশ loansণ এই অর্থে অনন্য যে bণ গ্রহীতারা বাজারে তিমির মতো কাজ করতে সক্ষম হয় যার কোন বিন্দুমাত্র জামানত নেই, এইভাবে প্রায় যে কেউ বাজারে কারসাজি করার এবং স্মার্ট কন্ট্রাক্ট কোডের মধ্যে দুর্বলতাকে কাজে লাগানোর ক্ষমতা দেয়।

যেকোনো নবীন শিল্পের মতো, শুরুতে ত্রুটি তৈরি করা হয় এবং শিল্প এই ধরণের আক্রমণ থেকে শিখবে। ডিএফআই প্ল্যাটফর্ম ব্যবহারকারীদের জন্য নিরাপদ লেনদেন নিশ্চিত করার জন্য সিস্টেম এবং অবকাঠামো প্রয়োগ এবং শক্তিশালী করা হবে।

সূত্র: https://www.cryptoninjas.net/2021/05/20/45m-gone-in-a-flash-loan-attack-how-scammers-exploited-vulnerabilities-in-pancake-bunnys-smart-contract- কোড/