Un autre exploit du projet BSC: 7.2 millions de dollars drainés de BurgerSwap dans une attaque de prêt flash

Un autre protocole utilisant la Binance Smart Chain a subi une faille de sécurité. Cette fois, c'était l'échange décentralisé BurgerSwap, et les auteurs ont volé plus de 7 millions de dollars grâce à une attaque de prêt flash.

7.2 M $ drainés de BurgerSwap

Lancé plus tôt cette année, BurgerSwap est un projet DeFi permettant aux utilisateurs d'échanger entre les jetons émis sur le BSC et de gagner des récompenses pour avoir fourni des liquidités. Plus tôt dans la journée, le protocole l'a transmis à Twitter pour mettre en évidence la faille de sécurité qu'il avait subie.

Tout s'est passé le 28 mai et les auteurs ont choisi une manière plutôt notoire et courante d'exploiter le protocole - via une attaque de prêt flash. Ils parviennent à drainer 7.2 millions de dollars de BurgerSwap via 14 transactions.

Ils ont créé leur propre Fake Coin et formé une nouvelle paire commerciale avec BURGER - le jeton crypto natif de BurgerSwap. Plus tard, les auteurs ont ajusté le routage vers - BURGER -> Fake Coin -> BNB emballé.

Ils ont utilisé la paire de trading BURGER / Fake Coin pour réintégrer BurgerSwap via Fake Coin et ont manipulé le nombre de reserve0 et reserve1 dans le contrat, provoquant un changement de prix significatif.

En entrant à nouveau dans la transaction et en revenant à WBNB, les pirates ont réussi à obtenir la quantité supplémentaire de WBNB entrée. En tant que tels, ils ont flashé 6,000 2 WBNB (92,000 millions de dollars) de PancakeSwap, puis presque tout WBNB à XNUMX XNUMX BURGER sur BurgerSwap.

6/9

(3) Création d'une paire avec un faux jeton sur BurgerSwap et ajout de 100 faux jetons et 45k $ BURGER À la piscine;
(4) Échange de 100 faux jetons contre 4,400 $ WBNB à travers la piscine;
(5) En raison de la réentrance au moment du transfert du faux jeton, l'attaquant a effectué un autre échange à partir de 45k $ BURGER à 4.4k $ WBNB; pic.twitter.com/SeVcE2bJ6w

- BurgerSwap (@burger_swap) 28 mai 2021

En fin de compte, ils ont volé 4,400 WBNB (1.6 M $ à l'époque), 22,000 2.5 BUSD, 6.8 ETH (432,000 K $), 3.2 142,000 BURGER (1 M $), 95,000 XNUMX xBURGER (XNUMX M $) et XNUMX XNUMX ROCKS.

Le projet DeFi a suspendu tous ses services à partir de maintenant et sera «Travaillez certainement dur pour couvrir les pertes des utilisateurs.»

Pas le premier

La croissance rapide du BSC depuis sa création a attiré l'attention des mauvais acteurs, et le nombre de protocoles attaqués utilisant le réseau a augmenté de façon exponentielle ces derniers mois.

CryptoPotato a rapporté certains des exemples, y compris le protocole spartiate. L'attaque a eu lieu plus tôt en mai et a entraîné la perte de plus de 30 millions de dollars de fonds d'utilisateurs.

Peu de temps avant, c'était au tour d'Uranium Finance. Le market maker automatisé employant BSC a vu environ 50 millions de dollars volé de son réseau, mais certains ont suggéré qu'il aurait pu en fait être un tapis.

Des préoccupations similaires sont venues de Meerkat Finance après que 30 millions de dollars aient été drainé du protocole en mars de cette année.