Plus tôt dans la journée, l'agrégateur agricole de rendement DeFi, Pancake Bunny, a été victime d'une attaque de prêt flash, l'attaquant s'en tirant avec environ 45 millions de dollars en quelques secondes.
Le kicker? Rien n'a été violé. L'attaquant a profité de deux choses: des prêts flash (une innovation dans DeFi) et des vulnérabilités logicielles sur une plateforme DeFi.
Contexte
À 10 h 34 UTC le jeudi 20 mai, Pancake Bunny, un agrégateur et optimiseur de rendement agricole DeFi basé sur Binance Smart Chain (BSC) a subi une attaque de prêt flash qui exploitait le code du protocole Bunny. Avant d'entrer dans les détails du piratage, une terminologie avec laquelle nous devons nous familiariser:
Attaque de prêt flash: Un prêt flash est un prêt consenti et retourné dans le délai nécessaire pour créer un nouveau bloc sur la blockchain. C'est un prêt qui n'oblige pas l'emprunteur à déposer une garantie. L'emprunteur retournera rapidement un profit sur le montant et remboursera le prêt initial avant qu'un nouveau bloc ne soit formé. Dans une attaque de prêt flash, le fraudeur prendra le prêt afin de manipuler le marché et / ou d'exploiter les vulnérabilités logicielles dans le code.
Teneurs de marché automatisés (AMM): Bien que tous les échanges décentralisés ne soient pas des plates-formes AMM, certains des DEX les plus populaires le sont. Les plates-formes AMM permettent de négocier automatiquement les crypto-monnaies en utilisant un pool de liquidités programmé plutôt qu'un carnet de commandes traditionnel, qui rassemble acheteurs et vendeurs.
Pools de liquidité: La liquidité fait référence à la facilité avec laquelle un actif peut être converti en un autre sans avoir beaucoup d'impact sur les prix. Les plates-formes AMM collectent des fonds dans un pool de liquidités via un contrat intelligent afin de faciliter la négociation décentralisée, les prêts et d'autres fonctions financières. Pour les bourses décentralisées telles qu'Uniswap ou PancakeSwap, les pools de liquidité permettent aux plateformes de fonctionner correctement.
Fournisseurs de liquidité et jetons LP: Les fournisseurs de liquidité sont incités à fournir des actifs aux pools de liquidité afin que les jetons puissent être échangés facilement sur la plate-forme. Par exemple, une partie des frais générés par la négociation au sein du pool peut être utilisée pour «rembourser» les fournisseurs de liquidité. En outre, lorsque les fournisseurs de liquidité apportent des actifs à un pool, la plate-forme AMM génère automatiquement un jeton LP, qui peut ensuite être utilisé dans d'autres fonctions - soit sur sa plate-forme native, soit sur d'autres applications DeFi - afin que les fournisseurs de liquidité puissent même recevoir de meilleurs rendements.
Valeur totale verrouillée (TVL): Utilisée comme métrique de facto pour montrer la croissance de la finance décentralisée, la valeur totale bloquée est le montant du capital qui a été déposé dans DeFi - souvent sous la forme de garanties de prêt ou de liquidité dans un pool de négociation.
Que savons-nous jusqu'ici?
Contrairement aux rapports précédents selon lesquels 1 milliard de dollars auraient été volés à Pancake Bunny, Igor Igamberdiev, analyste de recherche chez The Block Crypto, a révélé qu'en fait environ 45 millions de dollars (114,000 XNUMX WBNB) avaient été volés. L'attaquant a exploité l'utilisation de prêts flash via PancakeSwap (PCS).
1/6
Aujourd'hui, des jetons BUNNY d'une valeur de 1 milliard de dollars et plus ont été frappés par Bunny Finance sur BSC, ce qui a entraîné le vol de plus de 40 millions de dollars:
- 114 40 WBNB (XNUMX M $)
- 697k BUNNYPour cette raison, le prix BUNNY est passé de 146 $ à 6 $👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) 20 mai 2021
Dans une série de tweets, Igor a décomposé les actions de l'attaquant en six étapes, qui ont été confirmées par Pancake Bunny's Autopsie:
6/6
Pour le moment, l'attaquant a déjà retiré 10.1k ETH (23.5 millions de dollars) à Ethereum via le pont Nerve, et 14 millions de dollars supplémentaires sont sur leur adresse BSC. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) 20 mai 2021
- Dépôt d'une valeur de 1BNB de USDT dans le Bunny USDT-WBNB Vault afin de mettre en scène l'exploit. 9.275 LP ont été générés à la suite de ce dépôt.
- A emprunté 2.3 millions de BNB (704 millions de dollars) à sept pools PancakeSwap et 2.9 millions de dollars américains à ForTube Bank à l'aide de prêts flash.
- Dépôt de 7,700 BNB et 2.9 millions USDT de liquidités supplémentaires dans le pool PancakeSwap USDT-WBNB, ainsi que les jetons LP générés à l'étape 1.
- Échange de 2.3 millions de BNB en USDT via le pool PancakeSwap USDT-WBNB, inondant le pool de BNB et réduisant considérablement le montant des USDT dans le pool.
- Avec le LP dans le pool PancakeSwap USDT-WBNB, Bunny Finance pensait que l'exploitant avait ajouté une grande quantité de BNB dans le système, déclenchant le système pour frapper 7M BUNNY (1 milliard de dollars).
- Exploiter a ensuite vendu 4.8M BUNNY pour 2.3M WBNB et 2.9M USDT, qu'il a ensuite utilisé pour rembourser les prêts flash empruntés à l'étape 2.
Comme indiqué dans Pancake Bunny's "Plan aller de l'avant", tous les coffres-forts sont sûrs et aucun coffre-fort n'a été piraté. Cependant, lorsque le BUNNY nouvellement créé à l'étape 5 a inondé le marché, le prix de BUNNY s'est effondré. Une partie de la TVL de Pancake Bunny est dans BUNNY, donc - bien que le coffre-fort lui-même n'ait pas été violé - la TVL était toujours perdue.
Qui a été blessé par cette attaque?
Principaux, les détenteurs de BUNNY sont ceux qui ont le plus souffert de cet incident de deux manières:
- Avec 7 millions de jetons BUNNY créés à partir de rien, les jetons existants ont été dilués, ce qui a fait baisser le prix de BUNNY.
- En raison de la vente de jetons BUNNY sur le marché, la liquidité de BUNNY - la facilité avec laquelle BUNNY peut être vendu sur le marché - a été complètement zappée.
Dans son «plan pour aller de l'avant», Pancake Bunny a décrit les mesures prises afin de stimuler la récupération de 1) TVL, 2) capitalisation boursière et 3) compenser tout le monde pour leurs pertes dès que possible.
Qu'est-ce que cela signifie pour les prêts flash, les attaques de prêt flash et les plates-formes DeFi?
Les prêts flash sont uniques en ce sens que les emprunteurs sont capables d'agir comme une baleine sur les marchés avec peu ou pas de garanties, donnant ainsi à presque tout le monde la possibilité de manipuler le marché et d'exploiter les vulnérabilités des codes de contrat intelligents.
Comme pour toute industrie naissante, des erreurs sont commises au début et l'industrie apprendra de ces types d'attaques. Les systèmes et l'infrastructure seront ensuite appliqués et renforcés pour garantir des transactions sûres pour ceux qui utilisent les plates-formes DeFi.
- 000
- 7
- 9
- Supplémentaire
- Avantage
- Tous
- analyste
- applications
- article
- atout
- Outils
- Banque
- Milliards
- binance
- blockchain
- ENB
- PONT
- capital
- code
- contrat
- Crypto
- cryptocurrencies
- Décentralisé
- Finance décentralisée
- DeFi
- conduite
- Anglais
- ETH
- Ethereum
- Échanges
- Exploiter
- agriculture
- Frais
- finance
- la traduction de documents financiers
- Flash
- formulaire
- Avant
- fonds
- avenir
- Don
- Croissance
- entaille
- Comment
- HTTPS
- Impact
- industrie
- Infrastructure
- Innovation
- enquête
- IT
- gros
- APPRENTISSAGE
- prêt
- Liquidité
- fournisseurs de liquidité
- Prêts
- LP
- LPs
- Fabrication
- Marché
- Capitalisation boursière
- Marchés
- moyenne
- million
- Stack monitoring
- Le Plus Populaire
- net
- de commander
- Autre
- PC
- plateforme
- Plateformes
- pool
- Piscines
- Populaire
- prix
- Profit
- récupération
- Rapports
- un article
- Retours
- des
- SOLDE
- Les escrocs
- Sellers
- sens
- Série
- Partager
- SIX
- smart
- contrat intelligent
- So
- Logiciels
- vendu
- Étape
- volé
- la quantité
- combustion propre
- Système
- The Vault
- jeton
- Tokens
- Commerce
- Transactions
- Uniswap
- USDT
- Plus-value
- Voûte
- vulnérabilités
- WHO
- dans les
- vaut
- Rendement
