Tidligere i dag blev DeFi-udbytte-landbrugsaggregator, Pancake Bunny, ramt af et flashlånsangreb, hvor angriberen kom afsted med cirka 45 millioner dollars i løbet af få sekunder.
Kickeren? Intet blev brudt. Angriberen udnyttede to ting: Flash-lån (en innovation i DeFi) og softwaresårbarheder på en DeFi-platform.
Baggrund
Kl. 10:34 UTC torsdag den 20. maj blev Pancake Bunny, en DeFi-udbytte-landbrugsaggregator og -optimering bygget på Binance Smart Chain (BSC), udsat for et flashlånsangreb, der udnyttede koden på Bunny-protokollen. Inden vi kommer ind på detaljerne i hacket, bør vi gøre os bekendt med nogle terminologier:
Flash-lånsangreb: Et flashlån er et lån, der optages og returneres inden for den tidsramme, det tager at oprette en ny blok på blockchain. Det er et lån, der ikke kræver, at låntageren skal stille sikkerhed. Låntageren vil hurtigt vende en fortjeneste på beløbet og returnere det oprindelige lån, før en ny blok dannes. I et flashlånsangreb vil svindleren tage lånet for at manipulere markedet og/eller udnytte softwaresårbarheder i koden.
Automated Market Makers (AMM'er): Selvom ikke alle decentraliserede udvekslinger er AMM-platforme, er nogle af de mest populære DEX'er. AMM-platforme tillader, at kryptovalutaer kan handles automatisk ved hjælp af en programmeret likviditetspulje frem for en traditionel ordrebog, som samler købere og sælgere.
Likviditetspuljer: Likviditet refererer til, hvor let et aktiv kan omdannes til et andet uden at have stor prispåvirkning. AMM-platforme indsamler midler til en likviditetspulje via en smart kontrakt for at lette decentraliseret handel, udlån og andre finansielle funktioner. For decentraliserede børser som Uniswap eller PancakeSwap gør likviditetspuljer det muligt for platformene at fungere problemfrit.
Likviditetsudbydere og LP-tokens: Likviditetsudbydere tilskyndes til at forsyne likviditetspuljer med aktiver, så tokens nemt kan handles på platformen. For eksempel kan en del af gebyrerne, der genereres gennem handel inden for puljen, bruges til at "tilbagebetale" likviditetsudbydere. Når likviditetsudbydere bidrager med aktiver til en pulje, vil AMM-platformen desuden automatisk generere et LP-token, som så også kan bruges i andre funktioner - enten på dens oprindelige platform eller på andre DeFi-apps - så likviditetsudbydere kan modtage evt. større afkast.
Samlet værdi låst (TVL): Brugt som de facto-metrikken til at vise væksten i decentraliseret finansiering, er den samlede værdi låst mængden af kapital, der er blevet indsat i DeFi - ofte i form af lånesikkerheder eller likviditet i en handelspulje.
Hvad ved vi hidtil?
I modsætning til tidligere rapporter om 1 milliard dollars, der er blevet stjålet fra Pancake Bunny, Igor Igamberdiev, forskningsanalytiker ved The Block Crypto, afslørede, at der faktisk blev stjålet cirka 45 millioner dollars (114,000 WBNB). Angriberen udnyttede brugen af flashlån via PancakeSwap (PCS).
1/6
I dag blev BUNNY-tokens til en værdi af $ 1 B + præget fra Bunny Finance på BSC, hvilket resulterede i $ 40 mio. + Blev stjålet:
- 114 k WBNB ($ 40 mio.)
- 697k BUNNYAf denne grund faldt BUNNY-prisen fra $146 til $6👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) Maj 20, 2021
I en række tweets opdelte Igor angriberens handlinger i seks trin, som blev bekræftet af Pancake Bunny's efter døden:
6/6
I øjeblikket har angriberen allerede trukket 10.1k ETH ($23.5M) til Ethereum gennem nervebroen, og yderligere $14M er på deres BSC-adresse. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) Maj 20, 2021
- Deponerede USDT til en værdi af 1BNB til Bunny USDT-WBNB Vault for at iscenesætte udnyttelsen. 9.275 LP'er blev genereret som et resultat af denne deponering.
- Lånte 2.3 mio. BNB (704 mio. USD) fra syv PancakeSwap-puljer og 2.9 mio. USDT fra ForTube Bank ved hjælp af flashlån.
- Deponerede yderligere 7,700 BNB og 2.9M USDT likviditet til PancakeSwap USDT-WBNB-puljen sammen med LP-tokens genereret fra trin 1.
- Handlede 2.3M BNB til USDT gennem PancakeSwap USDT-WBNB-puljen, oversvømmede puljen med BNB og reducerede mængden af USDT'er i puljen markant.
- Med LP'en i PancakeSwap USDT-WBNB-puljen mente Bunny Finance, at udnytteren tilføjede en stor mængde BNB i systemet, hvilket udløste systemet til at præge 7M BUNNY (1 mia. USD).
- Exploiter solgte derefter 4.8 M BUNNY for 2.3 M WBNB og 2.9 M USDT, som den derefter brugte til at tilbagebetale de flashlån, der blev lånt i trin 2.
Som angivet i Pancake Bunny's "Gå fremad plan," alle hvælvinger er sikre, og ingen hvælvinger er blevet brudt. Men da den nyslåede BUNNY fra trin 5 oversvømmede markedet, styrtede prisen på BUNNY. En del af Pancake Bunny's TVL er i BUNNY, så - mens selve hvælvingen ikke blev brudt - var TVL stadig tabt.
Hvem blev såret af dette angreb?
Primære indehavere af BUNNY er dem, der blev mest såret af denne hændelse på to måder:
- Med 7 millioner BUNNY tokens skabt ud af den blå luft, blev eksisterende tokens fortyndet, hvilket drev prisen på BUNNY ned.
- På grund af salget af BUNNY-tokens på markedet, blev BUNNY's likviditet - den lethed, hvormed BUNNY kan sælges på markedet - fuldstændigt ødelagt.
I sin "Go Forward-plan" skitserede Pancake Bunny de skridt, de tager for at drive genopretningen af 1) TVL, 2) markedsværdi og 3) kompensation for alle for deres tab så hurtigt som muligt.
Hvad betyder det for flashlån, flashlånsangreb og DeFi-platforme?
Flashlån er unikke i den forstand, at låntagere er i stand til at agere som en hval på markederne med ringe eller ingen sikkerhed, hvilket giver næsten enhver mulighed for at manipulere markedet og udnytte sårbarheder inden for smarte kontraktkoder.
Som med enhver ny industri, begås der fejl i begyndelsen, og industrien vil lære af disse typer angreb. Systemer og infrastruktur vil derefter blive håndhævet og styrket for at sikre sikre transaktioner for dem, der bruger DeFi-platforme.
- 000
- 7
- 9
- Yderligere
- Fordel
- Alle
- analytiker
- apps
- artikel
- aktiv
- Aktiver
- Bank
- Billion
- binance
- blockchain
- bnb
- BRIDGE
- kapital
- kode
- kontrakt
- krypto
- cryptocurrencies
- decentral
- Decentraliseret finansiering
- Defi
- kørsel
- Engelsk
- ETH
- ethereum
- Udvekslinger
- Exploit
- landbrug
- Gebyrer
- finansiere
- finansielle
- Blink
- formular
- Videresend
- fonde
- fremtiden
- Give
- Vækst
- hack
- Hvordan
- HTTPS
- KIMOs Succeshistorier
- industrien
- Infrastruktur
- Innovation
- undersøgelse
- IT
- stor
- LÆR
- udlån
- Likviditet
- udbydere af likviditet
- Lån
- LP
- lp'er
- Making
- Marked
- Market Cap
- Markeder
- medium
- million
- overvågning
- Mest Populære
- netto
- ordrer
- Andet
- pc'er
- perron
- Platforme
- pool
- Pools
- Populær
- pris
- Profit
- opsving
- Rapporter
- forskning
- afkast
- sikker
- salg
- Snydere
- Sælgere
- forstand
- Series
- Del
- SIX
- Smart
- smart kontrakt
- So
- Software
- solgt
- Stage
- stjålet
- forsyne
- systemet
- Systemer
- Hvælvingen
- token
- Tokens
- Trading
- Transaktioner
- Uniswap
- USDT
- værdi
- Vault
- Sårbarheder
- WHO
- inden for
- værd
- Udbytte
