Hoy temprano, el agregador agrícola de rendimiento de DeFi, Pancake Bunny, sufrió un ataque de préstamo rápido y el atacante se llevó aproximadamente $ 45 millones en cuestión de segundos.
¿El pateador? No se rompió nada. El atacante se aprovechó de dos cosas: préstamos flash (una innovación en DeFi) y vulnerabilidades de software en una plataforma DeFi.
Antecedentes
A las 10:34 UTC del jueves 20 de mayo, Pancake Bunny, un agregador y optimizador de agricultura de rendimiento DeFi construido en Binance Smart Chain (BSC) sufrió un ataque de préstamo flash que explotó el código en el protocolo Bunny. Antes de entrar en los detalles del truco, debemos familiarizarnos con alguna terminología:
Ataque de préstamo relámpago: Un préstamo flash es un préstamo que se realiza y se devuelve dentro del período de tiempo necesario para crear un nuevo bloque en la cadena de bloques. Es un préstamo que no requiere que el prestatario deposite ninguna garantía. El prestatario obtendrá rápidamente una ganancia sobre el monto y devolverá el préstamo inicial antes de que se forme un nuevo bloque. En un ataque de préstamo flash, el estafador tomará el préstamo para manipular el mercado y / o explotar las vulnerabilidades del software dentro del código.
Creadores de mercado automatizados (AMM): Si bien no todos los intercambios descentralizados son plataformas AMM, algunos de los DEX más populares sí lo son. Las plataformas AMM permiten que las criptomonedas se negocien automáticamente utilizando un grupo de liquidez programado en lugar de una cartera de pedidos tradicional, que reúne a compradores y vendedores.
Fondos comunes de liquidez: La liquidez se refiere a la facilidad con la que un activo se puede convertir en otro sin tener mucho impacto en el precio. Las plataformas AMM recolectan fondos en un grupo de liquidez a través de un contrato inteligente para facilitar el comercio descentralizado, los préstamos y otras funciones financieras. Para los intercambios descentralizados como Uniswap o PancakeSwap, los fondos de liquidez permiten que las plataformas funcionen sin problemas.
Proveedores de liquidez y tokens LP: Los proveedores de liquidez están incentivados a suministrar activos a los grupos de liquidez para que los tokens puedan negociarse fácilmente en la plataforma. Por ejemplo, parte de las tarifas generadas a través de la negociación dentro del grupo se puede utilizar para "recuperar" a los proveedores de liquidez. Además, cuando los proveedores de liquidez aportan activos a un grupo, la plataforma AMM generará automáticamente un token LP, que luego también se puede usar en otras funciones, ya sea en su plataforma nativa o en otras aplicaciones DeFi, para que los proveedores de liquidez puedan recibir incluso mayores rendimientos.
Valor total bloqueado (TVL): Utilizado como la métrica de facto para mostrar el crecimiento de las finanzas descentralizadas, el valor total bloqueado es la cantidad de capital que se ha depositado en DeFi, a menudo en forma de garantías de préstamos o liquidez en un grupo de negociación.
¿Qué sabemos hasta ahora?
Al contrario de los informes anteriores sobre el robo de mil millones de dólares de Pancake Bunny, Ígor Igamberdiev, analista de investigación de The Block Crypto, reveló que, de hecho, se robaron aproximadamente $ 45 millones (114,000 WBNB). El atacante aprovechó el uso de préstamos flash a través de PancakeSwap (PCS).
1/6
Hoy, los tokens BUNNY por valor de $ 1B + fueron acuñados de Bunny Finance en BSC, lo que resultó en el robo de $ 40M +:
- 114 WBNB (40 millones de dólares)
- 697k CONEJITOPor esta razón, el precio de BUNNY bajó de $ 146 a $ 6👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) 20 de mayo de 2021
En una serie de tweets, Igor desglosó las acciones del atacante en seis pasos, que fueron confirmados por Pancake Bunny's. Post-mortem:
6/6
Por el momento, el atacante ya ha retirado 10.1k ETH ($ 23.5M) a Ethereum a través del puente Nerve, y otros $ 14M están en su dirección BSC. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) 20 de mayo de 2021
- Depositó 1BNB de USDT en Bunny USDT-WBNB Vault para organizar el exploit. Como resultado de este depósito se generaron 9.275 LP.
- Tomó prestados 2.3 millones de BNB ($ 704 millones) de siete grupos de PancakeSwap y 2.9 millones de USDT de ForTube Bank mediante préstamos flash.
- Depositó 7,700 BNB adicionales y 2.9M USDT de liquidez al grupo PancakeSwap USDT-WBNB, junto con los tokens LP generados en el paso 1.
- Negoció 2.3 millones de BNB a USDT a través del grupo PancakeSwap USDT-WBNB, lo que inundó el grupo con BNB y disminuyó significativamente la cantidad de USDT en el grupo.
- Con el LP en el grupo PancakeSwap USDT-WBNB, Bunny Finance creía que el explotador agregó una gran cantidad de BNB al sistema, lo que provocó que el sistema produjera 7M BUNNY ($ 1 mil millones).
- Exploiter luego vendió 4.8M BUNNY por 2.3M WBNB y 2.9M USDT, que luego utilizó para pagar los préstamos flash tomados en préstamo en el paso 2.
Como se indica en Pancake Bunny's "Plan de avance, ”Todas las bóvedas están a salvo y no se han abierto brechas. Sin embargo, cuando el recién creado BUNNY del paso 5 inundó el mercado, el precio de BUNNY se desplomó. Una parte de TVL de Pancake Bunny está en BUNNY, por lo tanto, aunque no se rompió la bóveda, TVL todavía se perdió.
¿Quién resultó herido por este ataque?
Principalmente, los poseedores de BUNNY son los que más resultaron afectados por este incidente de dos maneras:
- Con 7 millones de tokens BUNNY creados de la nada, los tokens existentes se diluyeron, lo que redujo el precio de BUNNY.
- Debido a la venta de tokens BUNNY en el mercado, la liquidez de BUNNY, la facilidad con la que BUNNY puede venderse en el mercado, se redujo por completo.
En su “Plan Go Forward”, Pancake Bunny describió los pasos que están tomando para impulsar la recuperación de 1) TVL, 2) capitalización de mercado y 3) compensar a todos por sus pérdidas lo antes posible.
¿Qué significa esto para los préstamos flash, los ataques de préstamos flash y las plataformas DeFi?
Los préstamos flash son únicos en el sentido de que los prestatarios pueden actuar como una ballena en los mercados con poca o ninguna garantía, lo que le da a casi cualquier persona la capacidad de manipular el mercado y explotar las vulnerabilidades dentro de los códigos de contratos inteligentes.
Como ocurre con cualquier industria naciente, los errores se cometen al principio y la industria aprenderá de este tipo de ataques. Luego, los sistemas y la infraestructura se aplicarán y fortalecerán para garantizar transacciones seguras para quienes usan plataformas DeFi.
- 000
- 7
- 9
- Adicionales
- Ventaja
- Todos
- analista
- aplicaciones
- artículo
- activo
- Activos
- Banca
- mil millones
- binance
- blockchain
- BNB
- PUENTE
- capital
- código
- contrato
- cripto
- criptomonedas
- Descentralizado
- Finanzas descentralizadas
- DeFi
- conducción
- Inglés
- ETH
- Etereum
- Cambios
- Explotar
- de la agricultura
- Costes
- financiar
- financiero
- Flash
- formulario
- adelante
- fondos
- futuras
- Diezmos y Ofrendas
- Crecimiento
- corte
- Cómo
- HTTPS
- Impacto
- energético
- EN LA MINA
- Innovation
- investigación
- IT
- large
- APRENDE:
- préstamo
- Liquidez
- proveedores de liquidez
- Préstamos
- LP
- LPs
- Realizar
- Mercado
- Capitalización
- Industrias
- mediano
- millones
- monitoreo
- Más popular
- red
- solicite
- Otro
- PCs
- plataforma
- Plataformas
- alberca
- Albercas
- Popular
- precio
- Profit
- recuperación
- Informes
- la investigación
- devoluciones
- ambiente seguro
- Venta
- Los estafadores
- Vendedores
- sentido
- Serie
- Compartir
- SEIS
- inteligente
- contrato inteligente
- So
- Software
- vendido
- Etapa
- robada
- suministro
- te
- Todas las funciones a su disposición
- La bóveda
- ficha
- Tokens
- Plataforma de
- Transacciones
- Uniswap
- USDT
- propuesta de
- Bóveda
- Vulnerabilidades
- QUIENES
- dentro de
- valor
- Rendimiento