A mai nap folyamán a DeFi hozamgazdálkodási aggregátor, Pancake Bunny azonnali kölcsöntámadást szenvedett, és a támadó néhány másodperc alatt megközelítőleg 45 millió dollárt kapott.
A kicker? Semmit sem törtek meg. A támadó két dolgot használt ki: flash kölcsönöket (a DeFi újítása) és egy DeFi platform szoftveres sebezhetőségét.
Háttér
Május 10-án, csütörtökön 34:20 UTC-kor a Pancake Bunny, a Binance Smart Chain-re (BSC) épülő DeFi hozamgazdálkodási aggregátor és optimalizáló gyorskölcsönzési támadást szenvedett, amely kihasználta a Bunny protokoll kódját. Mielőtt belemennénk a feltörés részleteibe, meg kell ismerkednünk néhány terminológiával:
Gyorskölcsön támadás: A gyorskölcsön olyan kölcsön, amelyet a blokkláncon egy új blokk létrehozásához szükséges időn belül adnak ki és adnak vissza. Ez egy olyan kölcsön, amelyhez a hitelfelvevőnek nem kell fedezetet letennie. A hitelfelvevő gyorsan megfordítja a nyereséget az összegen, és visszaadja a kezdeti kölcsönt, mielőtt új blokkot alakítana ki. Egy gyorskölcsönzési támadás során a csaló felveszi a kölcsönt, hogy manipulálja a piacot és/vagy kihasználja a kódon belüli szoftversérülékenységeket.
Automatizált árjegyzők (AMM): Bár nem minden decentralizált központ AMM platform, a legnépszerűbb DEX-ek közül néhány igen. Az AMM platformok lehetővé teszik a kriptovaluták automatikus kereskedelmét egy programozott likviditási pool segítségével, nem pedig egy hagyományos ajánlati könyv segítségével, amely összehozza a vevőket és az eladókat.
Likviditási poolok: A likviditás azt jelenti, hogy egy eszköz milyen könnyen konvertálható egy másik eszközzé anélkül, hogy az árra jelentős hatást gyakorolna. Az AMM platformok intelligens szerződések révén likviditási poolba gyűjtik a pénzeszközöket a decentralizált kereskedés, hitelezés és egyéb pénzügyi funkciók elősegítése érdekében. Az olyan decentralizált tőzsdék esetében, mint az Uniswap vagy a PancakeSwap, a likviditási poolok lehetővé teszik a platformok zökkenőmentes működését.
Likviditásszolgáltatók és LP tokenek: A likviditásszolgáltatókat arra ösztönzik, hogy a likviditási poolokat eszközökkel látják el, hogy a tokenekkel könnyen kereskedhessenek a platformon. Például a poolon belüli kereskedés során keletkezett díjak egy része felhasználható a likviditásszolgáltatók „visszafizetésére”. Ezen túlmenően, amikor a likviditásszolgáltatók eszközöket adnak hozzá egy poolhoz, az AMM platform automatikusan generál egy LP tokent, amelyet aztán más funkciókban is felhasználhat – akár a natív platformján, akár más DeFi alkalmazásokban –, így a likviditásszolgáltatók nagyobb hozamok.
Összes lezárt érték (TVL): De facto mérőszámként használva a decentralizált finanszírozás növekedésének kimutatására, a teljes zárolt érték a DeFi-ben letétbe helyezett tőke összege – gyakran hitelfedezet vagy kereskedési pool likviditása formájában.
Mit tudunk eddig?
Ellentétben a korábbi jelentésekkel, amelyek szerint egymilliárd dollárt loptak el a Pancake Bunny-tól, Igor Igamberdiev, a The Block Crypto kutatóelemzője feltárta, hogy valójában körülbelül 45 millió dollárt (114,000 XNUMX WBNB) loptak el. A támadó a PancakeSwap-on (PCS) keresztül kihasználta a gyorskölcsönök használatát.
1/6
Ma több mint 1 milliárd dollár értékben BUNNY tokeneket vertek a Bunny Finance-től a BSC-n, aminek eredményeként több mint 40 millió dollárt loptak el:
– 114k WBNB (40 millió dollár)
– 697 ezer NYUSZEmiatt a BUNNY ára 146 dollárról 6 dollárra esett👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) May 20, 2021
Igor egy sor tweetben hat lépésre bontotta a támadó cselekedeteit, amit a Palacsintanyuszi is megerősített. halál utáni:
6/6
Jelenleg a támadó már kivett 10.1 ezer ETH-t (23.5 millió dollár) az Ethereumba az ideghídon keresztül, és további 14 millió dollár van a BSC-címükön. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) May 20, 2021
- 1 BNB értékű USDT-t letétbe helyezett a Bunny USDT-WBNB Vaultba, hogy megszervezzék a kihasználást. A letét eredményeként 9.275 XNUMX nagylemez keletkezett.
- 2.3 millió BNB-t (704 millió USD) vett fel hét PancakeSwap poolból és 2.9 millió USDT-t a ForTube Banktól gyorskölcsönök segítségével.
- További 7,700 BNB és 2.9 millió USDT likviditást helyezett el a PancakeSwap USDT-WBNB poolba, valamint az 1. lépésből generált LP tokeneket.
- 2.3 millió BNB-t cseréltek USDT-re a PancakeSwap USDT-WBNB poolon keresztül, elárasztva a készletet BNB-vel, és jelentősen csökkentve az USDT-k mennyiségét a poolban.
- Mivel az LP a PancakeSwap USDT-WBNB készletben volt, a Bunny Finance úgy vélte, hogy a kizsákmányoló nagy mennyiségű BNB-t adott a rendszerbe, ami elindította a rendszert 7 millió BUNNY (1 milliárd dollár) kitermelésére.
- Az Exploiter ezután 4.8 millió BUNNY-t adott el 2.3 millió WBNB-ért és 2.9 millió USDT-ért, amelyet aztán a 2. lépésben felvett gyorskölcsönök törlesztésére használt fel.
Amint azt a Pancake Bunny's "Menj előre”, minden trezor biztonságban van, és egyetlen trezort sem törtek fel. Amikor azonban az 5. lépésből újonnan verett BUNNY elárasztotta a piacot, a BUNNY ára összeomlott. A Pancake Bunny's TVL egy része a BUNNY-ban van, így – bár magukat a trezort nem törték fel – a TVL mégis elveszett.
Ki sérült meg ebben a támadásban?
A BUNNY elsődleges birtokosai azok, akiket ez az incidens két szempontból is a legjobban megsértett:
- A légből kapott 7 millió BUNNY tokennel a meglévő tokenek felhígultak, ami csökkentette a BUNNY árát.
- A BUNNY tokenek piaci értékesítése miatt a BUNNY likviditása – a BUNNY értékesítésének könnyűsége a piacon – teljesen megszakadt.
A Pancake Bunny a „Go Forward Tervben” felvázolta azokat a lépéseket, amelyeket azért tesznek, hogy 1) TVL, 2) piaci kapitalizációt és 3) mindenkit a lehető leghamarabb kompenzáljanak a veszteségeiért.
Mit jelent ez a gyorskölcsönök, a gyorskölcsön-támadások és a DeFi platformok esetében?
A gyorshitelek egyedülállóak abban az értelemben, hogy a hitelfelvevők bálnaként tudnak viselkedni a piacokon kevés vagy semmilyen fedezet nélkül, így szinte bárkinek lehetősége nyílik manipulálni a piacot és kihasználni az intelligens szerződési kódokon belüli sebezhetőségeket.
Mint minden születőben lévő iparág esetében, az elején elkövetnek hibákat, és az iparág tanulni fog az ilyen típusú támadásokból. A rendszereket és az infrastruktúrát ezután kikényszerítik és megerősítik, hogy biztosítsák a biztonságos tranzakciókat a DeFi platformokat használók számára.
- 000
- 7
- 9
- További
- Előny
- Minden termék
- elemző
- alkalmazások
- cikkben
- vagyontárgy
- Eszközök
- Bank
- Billió
- binance
- blockchain
- BNB
- HÍD
- tőke
- kód
- szerződés
- crypto
- cryptocurrencies
- decentralizált
- Decentralizált pénzügy
- Defi
- vezetés
- Angol
- ETH
- Ethereum
- Feltételek
- Exploit
- mezőgazdasági
- díjak
- finanszíroz
- pénzügyi
- Vaku
- forma
- Előre
- alapok
- jövő
- Giving
- Növekedés
- csapkod
- Hogyan
- HTTPS
- Hatás
- ipar
- Infrastruktúra
- Innováció
- vizsgálat
- IT
- nagy
- TANUL
- hitelezési
- fizetőképesség
- likviditásszolgáltatók
- Hitelek
- LP
- LP
- Gyártás
- piacára
- Piaci sapka
- piacok
- közepes
- millió
- ellenőrzés
- Legnepszerubb
- háló
- érdekében
- Más
- PC
- emelvény
- Platformok
- medence
- medencék
- Népszerű
- ár
- Nyereség
- felépülés
- Jelentések
- kutatás
- Visszatér
- biztonságos
- eladás
- Csalók
- Sellers
- értelemben
- Series of
- Megosztás
- SIX
- okos
- okos szerződés
- So
- szoftver
- eladott
- Színpad
- lopott
- kínálat
- rendszer
- Systems
- A Vault
- jelképes
- tokenek
- Kereskedés
- Tranzakciók
- Cserélje le
- USDT
- érték
- Boltozat
- sérülékenységek
- WHO
- belül
- érdemes
- Hozam
