Sebelumnya hari ini, agregator pertanian hasil DeFi, Pancake Bunny, mengalami serangan pinjaman kilat dengan penyerang menghasilkan sekitar $ 45 juta dalam hitungan detik.
Penendang? Tidak ada yang dilanggar. Penyerang memanfaatkan dua hal: pinjaman flash (inovasi dalam DeFi) dan kerentanan perangkat lunak pada platform DeFi.
Latar Belakang
Pada pukul 10:34 UTC pada hari Kamis, 20 Mei, Pancake Bunny, agregator dan pengoptimal pertanian hasil DeFi yang dibangun di atas Binance Smart Chain (BSC) mengalami serangan pinjaman kilat yang mengeksploitasi kode pada protokol Bunny. Sebelum kita membahas detail peretasan, beberapa terminologi yang harus kita pahami:
Serangan pinjaman kilat: Pinjaman flash adalah pinjaman yang dibuat dan dikembalikan dalam jangka waktu yang diperlukan untuk membuat blok baru di blockchain. Ini adalah pinjaman yang tidak mengharuskan peminjam untuk memberikan jaminan apa pun. Peminjam akan segera mendapatkan keuntungan dari jumlah tersebut dan mengembalikan pinjaman awal sebelum blok baru terbentuk. Dalam serangan pinjaman kilat, penipu akan mengambil pinjaman untuk memanipulasi pasar dan / atau mengeksploitasi kerentanan perangkat lunak di dalam kode.
Pembuat Pasar Otomatis (AMM): Meskipun tidak semua bursa terdesentralisasi adalah platform AMM, beberapa DEX paling populer adalah. Platform AMM memungkinkan cryptocurrency untuk diperdagangkan secara otomatis menggunakan kumpulan likuiditas terprogram daripada buku pesanan tradisional, yang menyatukan pembeli dan penjual.
Kolam likuiditas: Likuiditas mengacu pada seberapa mudah satu aset dapat dikonversi menjadi aset lain tanpa memiliki banyak dampak harga. Platform AMM mengumpulkan dana ke dalam kumpulan likuiditas melalui kontrak pintar untuk memfasilitasi perdagangan, pinjaman, dan fungsi keuangan lainnya yang terdesentralisasi. Untuk pertukaran terdesentralisasi seperti Uniswap atau PancakeSwap, kumpulan likuiditas memungkinkan platform untuk beroperasi dengan lancar.
Penyedia likuiditas dan token LP: Penyedia likuiditas diberi insentif untuk memasok kumpulan likuiditas dengan aset sehingga token dapat diperdagangkan dengan mudah di platform. Misalnya, sebagian dari biaya yang dihasilkan melalui perdagangan di dalam kumpulan dapat digunakan untuk "membayar kembali" penyedia likuiditas. Selain itu, ketika penyedia likuiditas menyumbangkan aset ke suatu pool, platform AMM secara otomatis akan menghasilkan token LP, yang kemudian juga dapat digunakan dalam fungsi lain - baik pada platform aslinya atau pada aplikasi DeFi lainnya - sehingga penyedia likuiditas dapat menerima bahkan hasil yang lebih besar.
Nilai Total Terkunci (TVL): Digunakan sebagai metrik de facto untuk menunjukkan pertumbuhan keuangan yang terdesentralisasi, total nilai terkunci adalah jumlah modal yang telah disetorkan ke DeFi - seringkali dalam bentuk jaminan pinjaman atau likuiditas di kumpulan perdagangan.
Apa yang kita ketahui sejauh ini?
Bertentangan dengan laporan sebelumnya bahwa $ 1 miliar dicuri dari Pancake Bunny, Igor Igamberdiev, analis riset di The Block Crypto, mengungkapkan bahwa sebenarnya sekitar $ 45 juta (114,000 WBNB) telah dicuri. Penyerang memanfaatkan penggunaan pinjaman flash melalui PancakeSwap (PCS).
1/6
Hari ini, token BUNNY senilai $ 1 miliar + dicetak dari Bunny Finance di BSC, menghasilkan $ 40 juta + dicuri:
- 114rb WBNB ($ 40 juta)
- 697rb KECILKarena alasan ini, harga BUNNY turun dari $ 146 menjadi $ 6👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) 20 Mei 2021
Dalam serangkaian tweet, Igor memecah tindakan penyerang menjadi enam langkah, yang dikonfirmasi oleh Pancake Bunny's. mayat:
6/6
Saat ini, penyerang telah menarik 10.1 ribu ETH ($ 23.5 juta) ke Ethereum melalui jembatan Nerve, dan $ 14 juta lainnya ada di alamat BSC mereka. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) 20 Mei 2021
- Menyimpan USDT senilai 1BNB ke Bunny USDT-WBNB Vault untuk melakukan eksploitasi. 9.275 LP dihasilkan sebagai hasil dari deposit ini.
- Meminjam 2.3 juta BNB ($ 704 juta) dari tujuh kolam PancakeSwap dan 2.9 juta USDT dari ForTube Bank menggunakan pinjaman flash.
- Menyimpan tambahan 7,700 BNB dan 2.9 juta USDT likuiditas ke kumpulan USDT-WBNB PancakeSwap, bersama dengan token LP yang dihasilkan dari langkah 1.
- Memperdagangkan 2.3 juta BNB ke USDT melalui kolam USDT-WBNB PancakeSwap, membanjiri kolam dengan BNB dan secara signifikan mengurangi jumlah USDT di kolam.
- Dengan LP dalam kumpulan USDT-WBNB PancakeSwap, Bunny Finance percaya bahwa pengeksploitasi menambahkan sejumlah besar BNB ke dalam sistem, memicu sistem untuk mencetak 7 juta BUNNY ($ 1 miliar).
- Pengeksploitasi kemudian menjual 4.8 juta BUNNY seharga 2.3 juta WBNB dan 2.9 juta USDT, yang kemudian digunakan untuk melunasi pinjaman kilat yang dipinjam pada langkah 2.
Seperti yang ditunjukkan dalam "Pancake Bunny"Maju Rencana, ”Semua kubah aman dan tidak ada kubah yang dibobol. Namun, ketika BUNNY yang baru dicetak dari langkah 5 membanjiri pasar, harga BUNNY jatuh. Sebagian dari TVL Kelinci Pancake ada di BUNNY, jadi - sementara lemari besi itu sendiri tidak dilanggar - TVL masih hilang.
Siapa yang terluka karena serangan ini?
Utama, pemegang BUNNY adalah orang-orang yang paling dirugikan dari kejadian ini dalam dua hal:
- Dengan 7 juta token BUNNY dibuat dari udara tipis, token yang ada diencerkan, mendorong harga BUNNY turun.
- Karena penjualan token BUNNY di pasar, likuiditas BUNNY - kemudahan di mana BUNNY dapat dijual di pasar - benar-benar tersentuh.
Dalam "Rencana Maju", Pancake Bunny menguraikan langkah-langkah yang mereka ambil untuk mendorong pemulihan 1) TVL, 2) kapitalisasi pasar, dan 3) memberi kompensasi kepada semua orang atas kerugian mereka sesegera mungkin.
Apa artinya ini untuk pinjaman kilat, serangan pinjaman kilat, dan platform DeFi?
Pinjaman flash unik dalam arti bahwa peminjam dapat bertindak seperti ikan paus di pasar dengan sedikit atau tanpa agunan, sehingga memberikan hampir semua orang kemampuan untuk memanipulasi pasar dan mengeksploitasi kerentanan dalam kode kontrak pintar.
Seperti halnya industri yang baru lahir, kesalahan dibuat di awal dan industri akan belajar dari jenis serangan ini. Sistem dan infrastruktur kemudian akan ditegakkan dan diperkuat untuk memastikan transaksi yang aman bagi mereka yang menggunakan platform DeFi.
- 000
- 7
- 9
- Tambahan
- Keuntungan
- Semua
- analis
- aplikasi
- artikel
- aset
- Aktiva
- Bank
- Milyar
- binansi
- blockchain
- bnb
- JEMBATAN
- modal
- kode
- kontrak
- kripto
- cryptocurrencies
- Terdesentralisasi
- Keuangan Terdesentralisasi
- Defi
- penggerak
- Inggris
- ETH
- ethereum
- Bursa
- Mengeksploitasi
- pertanian
- Biaya
- keuangan
- keuangan
- flash
- bentuk
- Depan
- dana-dana
- masa depan
- Pemberian
- Pertumbuhan
- terjangan
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- Dampak
- industri
- Infrastruktur
- Innovation
- investigasi
- IT
- besar
- BELAJAR
- pinjaman
- Likuiditas
- penyedia likuiditas
- Pinjaman
- LP
- Piringan hitam
- Membuat
- Pasar
- Cap Pasar
- pasar
- medium
- juta
- pemantauan
- Paling Populer
- bersih
- urutan
- Lainnya
- PC
- Platform
- Platform
- kolam
- Kolam renang
- Populer
- harga pompa cor beton mini
- Keuntungan
- pemulihan
- laporan
- penelitian
- Pengembalian
- aman
- penjualan
- Scammers
- Penjual
- rasa
- Seri
- Share
- ENAM
- pintar
- kontrak pintar
- So
- Perangkat lunak
- terjual
- Tahap
- dicuri
- menyediakan
- sistem
- sistem
- The Vault
- token
- Token
- Trading
- Transaksi
- Tidak bertukar tempat
- USDT
- nilai
- Kubah
- Kerentanan
- SIAPA
- dalam
- bernilai
- Menghasilkan
