Aikaisemmin tänään DeFi-satoviljelylaite, Pancake Bunny, kärsi pikalainahyökkäyksestä hyökkääjän kanssa, joka maksoi noin 45 miljoonalla dollarilla muutamassa sekunnissa.
Potkija? Mitään ei rikottu. Hyökkääjä hyödynsi kahta asiaa: pikalainoja (DeFi-innovaatio) ja DeFi-alustan ohjelmistohaavoittuvuuksia.
Tausta
Torstaina 10. toukokuuta klo 34 UTC Pancake Bunny, DeFi-satoviljelylaite ja optimoija, joka on rakennettu Binance Smart Chain (BSC): lle, kärsi pikalainahyökkäyksestä, joka hyödynsi Bunny-protokollan koodia. Ennen kuin tutustumme hakkeroinnin yksityiskohtiin, joihinkin termeihin meidän tulisi tutustua:
Pikalainahyökkäys: Pikalaina on laina, joka tehdään ja palautetaan määräajassa, joka tarvitaan uuden lohkon luomiseen lohkoketjuun. Se on laina, joka ei vaadi luotonsaajaa asettamaan mitään vakuuksia. Lainanottaja kääntää nopeasti voiton määrästä ja palauttaa alkuperäisen lainan ennen uuden lohkon muodostamista. Pikalainahyökkäyksessä huijari ottaa lainan markkinoiden manipuloimiseksi ja / tai koodin sisältämien ohjelmistoheikkojen hyödyntämiseksi.
Automaattiset markkinatakaajat (AMM): Vaikka kaikki hajautetut vaihdot eivät ole AMM-alustoja, jotkut suosituimmista DEX: stä ovat. AMM-alustojen avulla salausvaluutoilla voidaan käydä kauppaa automaattisesti käyttämällä ohjelmoitua likviditeettipoolia perinteisen tilauskannan sijaan, joka kokoaa ostajat ja myyjät yhteen.
Maksuvalmiuspoolit: Likviditeetti tarkoittaa sitä, kuinka helposti yksi omaisuuserä voidaan muuntaa toiseksi ilman suurta hintavaikutusta. AMM-alustat keräävät varoja likviditeettipooliin älykkään sopimuksen avulla hajautetun kaupankäynnin, luotonannon ja muiden taloudellisten toimintojen helpottamiseksi. Hajautetuissa pörsseissä, kuten Uniswap tai PancakeSwap, likviditeettipoolit mahdollistavat alustojen sujuvan toiminnan.
Likviditeetin tarjoajat ja LP-tunnukset: Likviditeetin tarjoajia kannustetaan toimittamaan likviditeettipooleille varoja, jotta rahakkeilla voidaan käydä kauppaa alustalla. Esimerkiksi osa poolissa käydyn kaupankäynnin kautta syntyvistä palkkioista voidaan käyttää likviditeetin tarjoajien takaisinmaksuun. Lisäksi kun likviditeetin tarjoajat lisäävät varoja pooliin, AMM-alusta luo automaattisesti LP-tunnuksen, jota voidaan sitten käyttää myös muissa toiminnoissa - joko omalla alustallaan tai muilla DeFi-sovelluksilla -, jotta likviditeetin tarjoajat voivat vastaanottaa jopa suurempi tuotto.
Lukittu kokonaisarvo (TVL): Hajautetun rahoituksen kasvun osoittamiseksi tosiasiallisena mittarina lukittu kokonaisarvo on DeFiin talletetun pääoman määrä - usein lainan vakuuksien tai likviditeetin muodossa kaupankäyntipoolissa.
Mitä tiedämme tähän mennessä?
Päinvastoin kuin aiemmin kerrottiin, että miljardi dollaria varastettiin pannukakkupupulta, Igor IgamberdievThe Block Crypto -tutkimusanalyytikko paljasti, että itse asiassa varastettiin noin 45 miljoonaa dollaria (114,000 XNUMX WBNB). Hyökkääjä hyödynsi pikalainojen käyttöä PancakeSwap (PCS) -palvelun kautta.
1/6
Tänään Bunny Finance -yritykseltä lyötiin BUNNY-rahakkeita, joiden arvo on yli 1 miljardi dollaria BSC: llä, mikä johti 40 miljoonan dollarin varastamiseen:
- 114 kt WBNB (40 miljoonaa dollaria)
- 697k BUNNYTästä syystä BUNNY-hinta laski 146 dollarista 6 dollariin pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) Voi 20, 2021
Sarjassa twiittejä Igor jakoi hyökkääjän toimet kuuteen vaiheeseen, jotka Pancake Bunny vahvisti jälkipuinti:
6/6
Tällä hetkellä hyökkääjä on jo nostanut 10.1 23.5 ETH (14 miljoonaa dollaria) Ethereumille Nerve-sillan kautta, ja toinen XNUMX miljoonaa dollaria on heidän BSC-osoitteessaan. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) Voi 20, 2021
- Talletti 1BNB: n arvoisen USDT: n pupun USDT-WBNB-holviin hyväksikäytön järjestämiseksi. Tämän talletuksen tuloksena syntyi 9.275 XNUMX LP: tä.
- Lainasi 2.3 miljoonaa BNB (704 miljoonaa dollaria) seitsemältä PancakeSwap-altaalta ja 2.9 miljoonaa USDT ForTube Bankilta flash-lainoilla.
- Talletti lisäksi 7,700 2.9 BNB ja 1 miljoonaa USDT likviditeettiä PancakeSwap USDT-WBNB -pooliin yhdessä vaiheesta XNUMX luotujen LP-tunnusten kanssa.
- Vaihdettiin 2.3 miljoonan BNB: n USDT: ksi PancakeSwap USDT-WBNB -poolin kautta, tulvaen altaan BNB: llä ja vähentämällä merkittävästi USDT: n määrää altaassa.
- LP: n ollessa PancakeSwap USDT-WBNB -sarjassa Bunny Finance uskoi, että hyväksikäyttäjä lisäsi järjestelmään suuren määrän BNB: tä, mikä laukaisi järjestelmän lyödä 7 miljoonaa BUNNYa (miljardi dollaria).
- Sitten Exploiter myi 4.8 miljoonaa pupua hintaan 2.3 miljoonaa WBNB ja 2.9 miljoonaa USDT, joita se käytti sitten maksamaan vaiheessa 2 lainatut pikalainat.
Kuten pannukakkupupinSiirry eteenpäin -suunnitelma, ”Kaikki holvit ovat turvallisia eikä yhtään holvia ole rikottu. Kuitenkin kun vasta lyöty BUNNY vaiheesta 5 tulvii markkinoille, BUNNY: n hinta kaatui. Osa Pancake Bunnyn TVL: stä on BUNNY, joten - vaikka holvia itseään ei rikottu - TVL hävisi edelleen.
Kuka loukkaantui tästä hyökkäyksestä?
Ensisijaiset, BUNNY: n haltijat ovat loukkaantuneet eniten tästä tapauksesta kahdella tavalla:
- 7 miljoonalla BUNNY-rahakkeella, jotka luotiin tyhjästä, olemassa olevat rahakkeet laimennettiin ja ajoivat BUNNY-hinnan alas.
- Koska BUNNY-rahakkeita myytiin markkinoilla, BUNNY-yhtiön likviditeetti - BUNNY-tuotteen myynnin helppous markkinoilla - oli täysin rajallinen.
Pancake Bunny esitteli Go Forward Plan -suunnitelmassaan vaiheet, joita he toteuttavat 1) TVL: n, 2) markkina-arvon ja 3) kaikkien tappioiden korvaamiseksi mahdollisimman pian.
Mitä tämä tarkoittaa pikalainoilla, pikalainahyökkäyksillä ja DeFi-alustoilla?
Pikalainat ovat ainutlaatuisia siinä mielessä, että lainanottajat kykenevät toimimaan valaiden tavoin markkinoilla ilman, että niillä on vain vähän tai ei lainkaan vakuuksia, mikä antaa melkein kenellekään mahdollisuuden manipuloida markkinoita ja hyödyntää älykkäiden sopimuskoodien heikkouksia.
Kuten minkä tahansa syntyvän teollisuuden kohdalla, virheitä tehdään alussa ja teollisuus oppii tämän tyyppisistä hyökkäyksistä. Järjestelmiä ja infrastruktuuria vahvistetaan ja vahvistetaan turvallisten transaktioiden varmistamiseksi DeFi-alustoja käyttäville.
- 000
- 7
- 9
- lisä-
- Etu
- Kaikki
- analyytikko
- sovellukset
- artikkeli
- etu
- Varat
- Pankki
- Miljardi
- binance
- blockchain
- BnB
- SILTA
- pääoma
- koodi
- sopimus
- Crypto
- cryptocurrencies
- hajautettu
- Hajautettu rahoitus
- defi
- ajo
- Englanti
- ETH
- ethereum
- Vaihto
- Käyttää hyväkseen
- maanviljely
- Maksut
- rahoittaa
- taloudellinen
- salama
- muoto
- Eteenpäin
- varat
- tulevaisuutta
- Antaminen
- Kasvu
- hakata
- Miten
- HTTPS
- Vaikutus
- teollisuus
- Infrastruktuuri
- Innovaatio
- tutkimus
- IT
- suuri
- OPPIA
- luotonanto
- likviditeetti
- likviditeetin tarjoajat
- Lainat
- LP
- LP:
- Tekeminen
- markkinat
- Market Cap
- markkinat
- keskikokoinen
- miljoona
- seuranta
- Suosituin
- netto
- tilata
- Muut
- PC
- foorumi
- Platforms
- pool
- Altaat
- Suosittu
- hinta
- Voitto
- elpyminen
- Raportit
- tutkimus
- Tuotto
- turvallista
- myynti
- Huijarit
- Myyjät
- tunne
- Sarjat
- Jaa:
- SIX
- fiksu
- älykäs sopimus
- So
- Tuotteemme
- myyty
- Vaihe
- varastettu
- toimittaa
- järjestelmä
- järjestelmät
- Holvi
- symbolinen
- tokens
- kaupankäynti
- Liiketoimet
- viserrys
- Uniswap
- USDT
- arvo
- Holvi
- haavoittuvuuksia
- KUKA
- sisällä
- arvoinen
- tuotto
