Νωρίτερα σήμερα, ο αθροιστής γεωργικών αποδόσεων της DeFi, ο Pancake Bunny, υπέστη επίθεση flash loan με τον επιτιθέμενο να κερδίζει με περίπου 45 εκατομμύρια δολάρια σε λίγα δευτερόλεπτα.
Το λάκτισμα; Τίποτα δεν παραβιάστηκε. Ο εισβολέας εκμεταλλεύτηκε δύο πράγματα: τα δάνεια flash (μια καινοτομία στο DeFi) και τα τρωτά σημεία του λογισμικού σε μια πλατφόρμα DeFi.
Ιστορικό
Στις 10:34 UTC την Πέμπτη 20 Μαΐου, ο Pancake Bunny, ένας αθροιστής αγώνων απόδοσης DeFi και βελτιστοποιητής που βασίστηκε στο Binance Smart Chain (BSC) υπέστη μια επίθεση flash δανείου που εκμεταλλεύτηκε τον κώδικα στο πρωτόκολλο Bunny. Πριν φτάσουμε στις λεπτομέρειες του hack, κάποια ορολογία πρέπει να εξοικειωθούμε με:
Επίθεση δανείου Flash: Ένα flash δάνειο είναι ένα δάνειο που έχει γίνει και επιστραφεί εντός του χρονικού πλαισίου που απαιτείται για τη δημιουργία ενός νέου block στο blockchain. Είναι ένα δάνειο που δεν απαιτεί από τον οφειλέτη να καταθέσει οποιαδήποτε ασφάλεια. Ο δανειολήπτης θα επιστρέψει γρήγορα ένα κέρδος από το ποσό και θα επιστρέψει το αρχικό δάνειο προτού σχηματιστεί ένα νέο μπλοκ. Σε μια γρήγορη επίθεση δανείου, ο απατεώνας θα πάρει το δάνειο για να χειραγωγήσει την αγορά ή / και να εκμεταλλευτεί τις ευπάθειες λογισμικού στον κώδικα.
Αυτοματοποιημένοι κατασκευαστές αγοράς (AMM): Αν και δεν είναι όλες οι αποκεντρωμένες ανταλλαγές πλατφόρμες AMM, μερικές από τις πιο δημοφιλείς DEX είναι. Οι πλατφόρμες AMM επιτρέπουν την αυτόματη διαπραγμάτευση των κρυπτονομισμάτων χρησιμοποιώντας ένα προγραμματισμένο σύνολο ρευστότητας και όχι ένα παραδοσιακό βιβλίο παραγγελιών, το οποίο συγκεντρώνει αγοραστές και πωλητές.
Συλλογές ρευστότητας: Η ρευστότητα αναφέρεται στο πόσο εύκολα ένα στοιχείο μπορεί να μετατραπεί σε άλλο χωρίς να έχει πολύ αντίκτυπο στις τιμές. Οι πλατφόρμες AMM συλλέγουν κεφάλαια σε μια ομάδα ρευστότητας μέσω ενός έξυπνου συμβολαίου για τη διευκόλυνση της αποκεντρωμένης διαπραγμάτευσης, του δανεισμού και άλλων χρηματοοικονομικών λειτουργιών. Για αποκεντρωμένες ανταλλαγές όπως το Uniswap ή το PancakeSwap, οι ομάδες ρευστότητας επιτρέπουν στις πλατφόρμες να λειτουργούν ομαλά.
Πάροχοι ρευστότητας και μάρκες LP: Οι πάροχοι ρευστότητας ενθαρρύνονται να προμηθεύουν ομάδες ρευστότητας με περιουσιακά στοιχεία, έτσι ώστε οι μάρκες να μπορούν να ανταλλάσσονται εύκολα στην πλατφόρμα. Για παράδειγμα, μέρος των τελών που δημιουργούνται μέσω διαπραγμάτευσης εντός του ομίλου μπορεί να χρησιμοποιηθεί για «αποπληρωμή» παρόχων ρευστότητας. Επιπλέον, όταν οι πάροχοι ρευστότητας συνεισφέρουν περιουσιακά στοιχεία σε μια ομάδα, η πλατφόρμα AMM θα δημιουργήσει αυτόματα ένα διακριτικό LP, το οποίο στη συνέχεια μπορεί επίσης να χρησιμοποιηθεί σε άλλες λειτουργίες - είτε στην εγγενή πλατφόρμα του είτε σε άλλες εφαρμογές DeFi - έτσι ώστε οι πάροχοι ρευστότητας να μπορούν να λαμβάνουν ακόμη και μεγαλύτερες αποδόσεις.
Συνολική τιμή κλειδωμένη (TVL): Χρησιμοποιείται ως de facto μέτρηση για να δείξει την ανάπτυξη της αποκεντρωμένης χρηματοδότησης, η συνολική αξία που είναι κλειδωμένη είναι το ποσό του κεφαλαίου που έχει κατατεθεί στο DeFi - συχνά με τη μορφή εξασφαλίσεων δανείων ή ρευστότητας σε μια ομάδα συναλλαγών.
Τι γνωρίζουμε μέχρι τώρα;
Σε αντίθεση με προηγούμενες αναφορές για κλοπή 1 δισεκατομμυρίου δολαρίων από την Pancake Bunny, Ιγκόρ Igamberdiev, ερευνητής στο The Block Crypto, αποκάλυψε ότι στην πραγματικότητα είχε κλαπεί περίπου 45 εκατομμύρια δολάρια (114,000 WBNB). Ο εισβολέας εκμεταλλεύτηκε τη χρήση flash δανείων μέσω του PancakeSwap (PCS).
1/6
Σήμερα, τα κουπόνια BUNNY αξίας $ 1B + κόπηκαν από την Bunny Finance στο BSC, με αποτέλεσμα να κλαπεί 40 εκατομμύρια $ +:
- 114k WBNB (40 εκατομμύρια δολάρια)
- 697k BUNNYΓια το λόγο αυτό, η τιμή BUNNY μειώθηκε από 146 $ σε 6👇 $ pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) 20 Μαΐου 2021
Σε μια σειρά tweets, ο Igor διασπά τις ενέργειες του επιτιθέμενου σε έξι βήματα, τα οποία επιβεβαιώθηκαν από τον Pancake Bunny's μετά θάνατον:
6/6
Προς το παρόν, ο εισβολέας έχει ήδη αποσύρει 10.1 χιλιάδες ETH (23.5 εκατομμύρια δολάρια) στο Ethereum μέσω της γέφυρας Nerve και άλλα 14 εκατομμύρια δολάρια βρίσκονται στη διεύθυνση BSC. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) 20 Μαΐου 2021
- Κατατέθηκε αξίας 1BNB USDT στο θησαυροφυλάκιο Bunny USDT-WBNB, προκειμένου να γίνει η εκμετάλλευση. Ως αποτέλεσμα αυτής της κατάθεσης δημιουργήθηκαν 9.275 LP.
- Δανείστηκε 2.3 εκατομμύρια BNB (704 εκατομμύρια δολάρια) από επτά ομάδες PancakeSwap και 2.9 εκατομμύρια δολάρια ΗΠΑ από τη ForTube Bank χρησιμοποιώντας δάνεια flash.
- Κατατέθηκαν επιπλέον 7,700 BNB και 2.9 εκατομμύρια USDT ρευστότητας στο σύνολο PancakeSwap USDT-WBNB, μαζί με τα διακριτικά LP που δημιουργήθηκαν από το βήμα 1.
- Έγινε συναλλαγή 2.3 εκατομμυρίων BNB σε USDT μέσω του PancakeSwap USDT-WBNB pool, πλημμυρίζοντας το pool με BNB και μειώνοντας σημαντικά το ποσό των USDTs στο pool.
- Με το LP στην ομάδα PancakeSwap USDT-WBNB, η Bunny Finance πίστευε ότι ο εκμεταλλευτής πρόσθεσε ένα μεγάλο ποσό BNB στο σύστημα, προκαλώντας το σύστημα να κόψει 7 εκατομμύρια BUNNY (1 δισεκατομμύριο δολάρια).
- Στη συνέχεια, η Exploiter πούλησε 4.8 εκατομμύρια BUNNY για 2.3 εκατομμύρια WBNB και 2.9 εκατομμύρια USDT, τα οποία στη συνέχεια χρησιμοποίησε για την αποπληρωμή των δανείων flash που δανείστηκαν στο βήμα 2.
Όπως αναφέρεται στο Pancake Bunny's «Προχωρήστε το σχέδιο, "Όλα τα θησαυροφυλάκια είναι ασφαλή και δεν έχουν παραβιαστεί. Ωστόσο, όταν το νέο κομμάτι BUNNY από το βήμα 5 πλημμύρισε την αγορά, η τιμή του BUNNY έπεσε. Ένα μέρος του TVL της Pancake Bunny είναι στο BUNNY, επομένως - ενώ το ίδιο το θησαυροφυλάκιο δεν παραβιάστηκε - το TVL έχασε ακόμα.
Ποιος τραυματίστηκε από αυτήν την επίθεση;
Πρωτοβάθμια, οι κάτοχοι του BUNNY είναι αυτοί που τραυματίστηκαν περισσότερο από αυτό το συμβάν με δύο τρόπους:
- Με 7 εκατομμύρια μάρκες BUNNY που δημιουργήθηκαν από λεπτό αέρα, τα υπάρχοντα κουπόνια αραιώθηκαν, μειώνοντας την τιμή του BUNNY.
- Λόγω της πώλησης των κουπονιών BUNNY στην αγορά, η ρευστότητα της BUNNY - η ευκολία με την οποία μπορεί να πωληθεί η BUNNY στην αγορά - ήταν εντυπωσιακή.
Στο «Go Forward Plan», η Pancake Bunny σκιαγράφησε τα βήματα που ακολουθούν για να οδηγήσουν στην ανάκαμψη του 1) TVL, 2) του market cap και 3) αποζημίωσης όλων για τις απώλειές τους το συντομότερο δυνατό.
Τι σημαίνει αυτό για τα δάνεια flash, τις επιθέσεις flash loan και τις πλατφόρμες DeFi;
Τα flash δάνεια είναι μοναδικά με την έννοια ότι οι δανειολήπτες είναι σε θέση να ενεργούν σαν φάλαινα στις αγορές με ελάχιστη ή καθόλου εξασφάλιση, δίνοντας έτσι σχεδόν σε όλους τη δυνατότητα να χειραγωγεί την αγορά και να εκμεταλλεύεται τις ευπάθειες εντός έξυπνων κωδικών συμβολαίου
Όπως και με κάθε νεοσυσταθείσα βιομηχανία, τα σφάλματα γίνονται στην αρχή και ο κλάδος θα μάθει από αυτούς τους τύπους επιθέσεων. Τα συστήματα και η υποδομή θα ενισχυθούν και θα ενισχυθούν για να διασφαλιστούν ασφαλείς συναλλαγές για όσους χρησιμοποιούν πλατφόρμες DeFi.
- 000
- 7
- 9
- Πρόσθετος
- Πλεονέκτημα
- Όλα
- αναλυτής
- εφαρμογές
- άρθρο
- προσόν
- Ενεργητικό
- Τράπεζα
- Δισεκατομμύριο
- Binance
- blockchain
- BNB
- ΓΕΦΥΡΑ
- κεφάλαιο
- κωδικός
- σύμβαση
- κρυπτο
- cryptocurrencies
- Αποκεντρωμένη
- Αποκεντρωμένη Οικονομία
- Defi
- οδήγηση
- Αγγλικά
- ETH
- ethereum
- Χρηματιστήρια
- Εκμεταλλεύομαι
- καλλιέργεια
- Αμοιβές
- χρηματοδότηση
- οικονομικός
- φλας
- μορφή
- Προς τα εμπρός
- χρήματα
- μελλοντικός
- Δίνοντας
- Ανάπτυξη
- σιδηροπρίονο
- Πως
- HTTPS
- Επίπτωση
- βιομηχανία
- Υποδομή
- Καινοτομία
- έρευνα
- IT
- large
- ΜΑΘΑΊΝΩ
- δανεισμός
- Ρευστότητα
- πάροχοι ρευστότητας
- Δάνεια
- LP
- LP
- Κατασκευή
- αγορά
- Cap Cap
- αγορές
- medium
- εκατομμύριο
- παρακολούθηση
- Δημοφιλέστερα
- καθαρά
- τάξη
- ΑΛΛΑ
- υπολογιστές
- πλατφόρμες
- Πλατφόρμες
- πισίνα
- Πισίνες
- Δημοφιλής
- τιμή
- Κέρδος
- ανάκτηση
- Εκθέσεις
- έρευνα
- Επιστροφές
- ένα ασφαλές
- πώληση
- Απατεώνες
- πωλητές
- αίσθηση
- Σειρές
- Κοινοποίηση
- ΕΞΙ
- έξυπνος
- έξυπνη σύμβαση
- So
- λογισμικό
- πωλούνται
- Στάδιο
- κλαπεί
- προμήθεια
- σύστημα
- συστήματα
- Το Vault
- ένδειξη
- κουπόνια
- Διαπραγμάτευσης
- Συναλλαγές
- Τουίτερ
- Απενεργοποίηση
- USDT
- αξία
- Θόλος
- Θέματα ευπάθειας
- Ο ΟΠΟΊΟΣ
- εντός
- αξία
- Βελτιστοποίηση