Der DeFi Yield Farming Aggregator Pancake Bunny erlitt heute einen Flash-Kreditangriff, bei dem der Angreifer innerhalb von Sekunden mit rund 45 Millionen US-Dollar davonkam.
Der Kicker? Nichts wurde verletzt. Der Angreifer nutzte zwei Dinge: Flash-Kredite (eine Innovation in DeFi) und Software-Schwachstellen auf einer DeFi-Plattform.
Hintergrund
Am Donnerstag, den 10. Mai, um 34:20 UTC erlitt Pancake Bunny, ein auf Binance Smart Chain (BSC) basierender DeFi Yield Farming Aggregator und Optimierer, einen Flash-Kreditangriff, bei dem der Code des Bunny-Protokolls ausgenutzt wurde. Bevor wir uns mit den Details des Hacks befassen, sollten wir uns mit einigen Begriffen vertraut machen:
Flash-Kredit-Angriff: Ein Flash-Darlehen ist ein Darlehen, das innerhalb des Zeitrahmens vergeben und zurückgegeben wird, der zum Erstellen eines neuen Blocks in der Blockchain erforderlich ist. Es handelt sich um einen Kredit, bei dem der Kreditnehmer keine Sicherheiten stellen muss. Der Kreditnehmer wird schnell einen Gewinn auf den Betrag umdrehen und das ursprüngliche Darlehen zurückgeben, bevor ein neuer Block gebildet wird. Bei einem Flash-Kreditangriff nimmt der Betrüger den Kredit auf, um den Markt zu manipulieren und / oder Software-Schwachstellen im Code auszunutzen.
Automated Market Maker (AMMs): Während nicht alle dezentralen Börsen AMM-Plattformen sind, sind es einige der beliebtesten DEXs. AMM-Plattformen ermöglichen den automatischen Handel mit Kryptowährungen mithilfe eines programmierten Liquiditätspools anstelle eines herkömmlichen Auftragsbuchs, in dem Käufer und Verkäufer zusammenkommen.
Liquiditätspools: Die Liquidität bezieht sich darauf, wie einfach ein Vermögenswert in einen anderen umgewandelt werden kann, ohne dass dies große Auswirkungen auf den Preis hat. AMM-Plattformen sammeln über einen intelligenten Vertrag Mittel in einem Liquiditätspool, um den dezentralen Handel, die Kreditvergabe und andere Finanzfunktionen zu erleichtern. Für dezentrale Börsen wie Uniswap oder PancakeSwap ermöglichen Liquiditätspools einen reibungslosen Betrieb der Plattformen.
Liquiditätsanbieter und LP-Token: Liquiditätsanbieter erhalten Anreize, Liquiditätspools mit Vermögenswerten zu versorgen, damit Token problemlos auf der Plattform gehandelt werden können. Beispielsweise kann ein Teil der Gebühren, die durch den Handel innerhalb des Pools generiert werden, zur „Rückzahlung“ von Liquiditätsanbietern verwendet werden. Wenn Liquiditätsanbieter Vermögenswerte in einen Pool einbringen, generiert die AMM-Plattform außerdem automatisch einen LP-Token, der dann auch in anderen Funktionen verwendet werden kann - entweder auf ihrer nativen Plattform oder in anderen DeFi-Apps -, sodass Liquiditätsanbieter sogar erhalten können höhere Renditen.
Gesamtwert gesperrt (TVL): Als De-facto-Metrik für das Wachstum der dezentralen Finanzierung wird der gesperrte Gesamtwert als Kapitalbetrag verwendet, der in DeFi eingezahlt wurde - häufig in Form von Kreditsicherheiten oder Liquidität in einem Handelspool.
Was wissen wir bisher?
Im Gegensatz zu früheren Berichten, wonach Pancake Bunny 1 Milliarde US-Dollar gestohlen wurde, Igor IgamberdievDer Research-Analyst von The Block Crypto gab bekannt, dass tatsächlich etwa 45 Millionen US-Dollar (114,000 WBNB) gestohlen wurden. Der Angreifer nutzte die Verwendung von Flash-Darlehen über PancakeSwap (PCS).
1/6
Heute wurden BUNNY-Token im Wert von über 1 Mrd. USD von Bunny Finance auf BSC geprägt, was dazu führte, dass über 40 Mio. USD gestohlen wurden:
- 114 WBNB (40 Mio. USD)
- 697k HÄSCHENAus diesem Grund fiel der BUNNY-Preis von 146 USD auf 6 USD pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) 20. Mai 2021
In einer Reihe von Tweets teilte Igor die Aktionen des Angreifers in sechs Schritte auf, die von Pancake Bunny's bestätigt wurden Obduktion:
6/6
Im Moment hat der Angreifer bereits 10.1 ETH (23.5 Millionen US-Dollar) über die Nervenbrücke nach Ethereum zurückgezogen, und weitere 14 Millionen US-Dollar befinden sich an seiner BSC-Adresse. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) 20. Mai 2021
- Hinterlegt USDBN im Wert von 1BNB im Bunny USDT-WBNB-Tresor, um den Exploit zu inszenieren. Als Ergebnis dieser Einzahlung wurden 9.275 LPs generiert.
- Ausleihe von 2.3 Mio. BNB (704 Mio. USD) aus sieben PancakeSwap-Pools und 2.9 Mio. USDT von der ForTube Bank unter Verwendung von Flash-Darlehen.
- Hinterlegte weitere 7,700 BNB und 2.9 Mio. USDT Liquidität im PancakeSwap USDT-WBNB-Pool zusammen mit den aus Schritt 1 generierten LP-Token.
- Über den PancakeSwap USDT-WBNB-Pool wurden 2.3 Mio. BNB an USDT gehandelt, wodurch der Pool mit BNB überflutet und die Anzahl der USDTs im Pool erheblich verringert wurde.
- Mit der LP im PancakeSwap USDT-WBNB-Pool glaubte Bunny Finance, dass der Exploiter dem System eine große Menge BNB hinzufügte, was das System dazu veranlasste, 7 Millionen BUNNY (1 Milliarde US-Dollar) zu prägen.
- Exploiter verkaufte dann 4.8 Mio. BUNNY für 2.3 Mio. WBNB und 2.9 Mio. USDT, mit denen die in Schritt 2 geliehenen Flash-Kredite zurückgezahlt wurden.
Wie in Pancake Bunny's “Plan vorwärts gehenAlle Gewölbe sind sicher und es wurden keine Gewölbe durchbrochen. Als jedoch das neu geprägte BUNNY aus Schritt 5 den Markt überflutete, stürzte der Preis von BUNNY ab. Ein Teil von Pancake Bunnys TVL befindet sich in BUNNY, so dass TVL - obwohl der Tresor selbst nicht durchbrochen wurde - immer noch verloren ging.
Wer wurde durch diesen Angriff verletzt?
In erster Linie sind die Inhaber von BUNNY diejenigen, die durch diesen Vorfall auf zweierlei Weise am meisten verletzt wurden:
- Mit 7 Millionen BUNNY-Token, die aus der Luft hergestellt wurden, wurden vorhandene Token verwässert, was den Preis für BUNNY senkte.
- Aufgrund des Verkaufs von BUNNY-Token auf dem Markt wurde die Liquidität von BUNNY - die Leichtigkeit, mit der BUNNY auf dem Markt verkauft werden kann - vollständig eingeschränkt.
In seinem „Go Forward Plan“ skizzierte Pancake Bunny die Schritte, die sie unternehmen, um die Erholung von 1) TVL, 2) Marktkapitalisierung und 3) Entschädigung aller für ihre Verluste so schnell wie möglich voranzutreiben.
Was bedeutet dies für Flash-Kredite, Flash-Kredit-Angriffe und DeFi-Plattformen?
Flash-Kredite sind einzigartig in dem Sinne, dass Kreditnehmer in der Lage sind, sich auf den Märkten wie ein Wal zu verhalten, ohne dass Sicherheiten vorhanden sind. So kann fast jeder den Markt manipulieren und Schwachstellen innerhalb intelligenter Vertragscodes ausnutzen.
Wie in jeder aufstrebenden Branche werden zu Beginn Fehler gemacht, und die Branche wird aus diesen Arten von Angriffen lernen. Systeme und Infrastruktur werden dann durchgesetzt und gestärkt, um sichere Transaktionen für Benutzer von DeFi-Plattformen zu gewährleisten.
- 000
- 7
- 9
- Zusätzliche
- Vorteil
- Alle
- Analytiker
- Apps
- Artikel
- Vermögenswert
- Details
- Bank
- Milliarde
- Binance
- Blockchain
- bnb
- BRIDGE
- Hauptstadt
- Code
- Vertrag
- Krypto
- Kryptowährungen
- dezentralisiert
- Dezentrale Finanzierung
- DeFi
- Fahren
- Englisch
- ETH
- Astraleum
- Warenumtausch
- Ausnutzen
- Landwirtschaft
- Honorare
- Finanzen
- Revolution
- Blinken (Flash)
- unten stehende Formular
- vorwärts
- Mittel
- Zukunft
- Unterstützung
- Wachstum
- hacken
- Ultraschall
- HTTPS
- Impact der HXNUMXO Observatorien
- Energiegewinnung
- Infrastruktur
- Innovation
- Untersuchung
- IT
- grosse
- LERNEN
- Darlehen
- Liquidity
- Liquiditätsanbieter
- Kredite
- LP
- LPs
- Making
- Markt
- Marktkapitalisierung
- Märkte
- mittlere
- Million
- Überwachung
- Am beliebtesten
- Netto-
- Auftrag
- Andere
- PCs
- Plattform
- Plattformen
- Pool
- Pools
- Beliebt
- Preis
- Profit
- Erholung
- Meldungen
- Forschungsprojekte
- Rückgabe
- safe
- Salz
- Betrüger
- Sellers
- Sinn
- Modellreihe
- Teilen
- SIX
- smart
- Smart-Vertrag
- So
- Software
- verkauft
- Stufe
- gestohlen
- liefern
- System
- Systeme und Techniken
- Der Tresor
- Zeichen
- Tokens
- Trading
- Transaktionen
- Uniswap
- USDT
- Wert
- Gewölbe
- Sicherheitslücken
- WHO
- .
- wert
- Ausbeute
