All'inizio di oggi, l'aggregatore dell'agricoltura di rendimento DeFi, Pancake Bunny, ha subito un attacco di prestito flash con l'attaccante che ha perso circa $ 45 milioni in pochi secondi.
Il kicker? Niente è stato violato. L'aggressore ha approfittato di due cose: prestiti flash (un'innovazione nella DeFi) e vulnerabilità del software su una piattaforma DeFi.
sfondo
Alle 10:34 UTC di giovedì 20 maggio, Pancake Bunny, un aggregatore e ottimizzatore di agricoltura di rendimento DeFi basato su Binance Smart Chain (BSC) ha subito un attacco di prestito flash che ha sfruttato il codice sul protocollo Bunny. Prima di entrare nei dettagli dell'hack, alcuni termini con cui dovremmo familiarizzare:
Attacco di prestito flash: Un prestito flash è un prestito che viene effettuato e restituito entro il lasso di tempo necessario per creare un nuovo blocco sulla blockchain. È un prestito che non richiede al mutuatario di versare alcuna garanzia. Il mutuatario girerà rapidamente un profitto sull'importo e restituirà il prestito iniziale prima che si formi un nuovo blocco. In un attacco di prestito flash, il truffatore prenderà il prestito per manipolare il mercato e / o sfruttare le vulnerabilità del software all'interno del codice.
Creatori di mercato automatizzati (AMM): Sebbene non tutti gli scambi decentralizzati siano piattaforme AMM, alcuni dei DEX più popolari lo sono. Le piattaforme AMM consentono di negoziare automaticamente le criptovalute utilizzando un pool di liquidità programmato anziché un portafoglio ordini tradizionale, che riunisce acquirenti e venditori.
Pool di liquidità: La liquidità si riferisce alla facilità con cui un asset può essere convertito in un altro senza avere un grande impatto sui prezzi. Le piattaforme AMM raccolgono fondi in un pool di liquidità tramite un contratto intelligente al fine di facilitare il trading decentralizzato, il prestito e altre funzioni finanziarie. Per gli scambi decentralizzati come Uniswap o PancakeSwap, i pool di liquidità consentono alle piattaforme di funzionare senza problemi.
Fornitori di liquidità e gettoni LP: I fornitori di liquidità sono incentivati a fornire ai pool di liquidità asset in modo che i token possano essere scambiati facilmente sulla piattaforma. Ad esempio, una parte delle commissioni generate dalla negoziazione all'interno del pool può essere utilizzata per "rimborsare" i fornitori di liquidità. Inoltre, quando i fornitori di liquidità contribuiscono con asset a un pool, la piattaforma AMM genererà automaticamente un token LP, che può quindi essere utilizzato anche in altre funzioni - sulla sua piattaforma nativa o su altre app DeFi - in modo che i fornitori di liquidità possano ricevere rendimenti maggiori.
Valore totale bloccato (TVL): Utilizzato come metrica di fatto per mostrare la crescita della finanza decentralizzata, il valore totale bloccato è la quantità di capitale che è stata depositata in DeFi, spesso sotto forma di garanzie sui prestiti o liquidità in un pool di negoziazione.
Cosa sappiamo finora?
Contrariamente ai precedenti rapporti di $ 1 miliardo di rubati da Pancake Bunny, Igor Igamberdiev, analista di ricerca di The Block Crypto, ha rivelato che in realtà sono stati rubati circa 45 milioni di dollari (114,000 WBNB). L'autore dell'attacco ha sfruttato l'uso di prestiti flash tramite PancakeSwap (PCS).
1/6
Oggi, i token BUNNY del valore di $ 1B + sono stati coniati da Bunny Finance su BSC, con un conseguente furto di $ 40M +:
- 114 WBNB ($ 40 milioni)
- 697k BUNNYPer questo motivo, il prezzo BUNNY è sceso da $ 146 a $ 6👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) 20 Maggio 2021
In una serie di tweet, Igor ha scomposto le azioni dell'attaccante in sei passaggi, che sono stati confermati da Pancake Bunny's post-mortem:
6/6
Al momento, l'attaccante ha già ritirato 10.1k ETH ($ 23.5M) su Ethereum attraverso il ponte Nerve, e altri $ 14M sono sul loro indirizzo BSC. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) 20 Maggio 2021
- Ha depositato 1BNB di USDT nella Bunny USDT-WBNB Vault per mettere in scena l'exploit. Come risultato di questo deposito sono stati generati 9.275 LP.
- Ha preso in prestito 2.3 milioni di BNB ($ 704 milioni) da sette pool di PancakeSwap e 2.9 milioni di USDT da ForTube Bank utilizzando prestiti flash.
- Ha depositato ulteriori 7,700 BNB e 2.9 milioni di USDT di liquidità nel pool PancakeSwap USDT-WBNB, insieme ai token LP generati dal passaggio 1.
- Scambiato 2.3 milioni di BNB in USDT attraverso il pool PancakeSwap USDT-WBNB, inondando il pool di BNB e riducendo significativamente la quantità di USDT nel pool.
- Con l'LP nel pool PancakeSwap USDT-WBNB, Bunny Finance credeva che lo sfruttatore avesse aggiunto una grande quantità di BNB nel sistema, attivando il sistema per coniare 7M BUNNY ($ 1 miliardo).
- Exploiter ha quindi venduto 4.8 milioni di BUNNY per 2.3 milioni di WBNB e 2.9 milioni di USDT, che ha poi utilizzato per rimborsare i prestiti flash presi in prestito nel passaggio 2.
Come indicato in Pancake Bunny's "Vai avanti piano”, tutti i caveau sono al sicuro e nessun caveau è stato violato. Tuttavia, quando il BUNNY appena coniato dal punto 5 ha invaso il mercato, il prezzo di BUNNY è crollato. Una parte della TVL di Pancake Bunny è in BUNNY, quindi, mentre il caveau stesso non è stato violato, la TVL è stata comunque persa.
Chi è stato ferito da questo attacco?
Primaria, i possessori di BUNNY sono quelli che sono stati feriti di più da questo incidente in due modi:
- Con 7 milioni di token BUNNY creati dal nulla, i token esistenti sono stati diluiti, facendo scendere il prezzo di BUNNY.
- A causa della vendita di token BUNNY sul mercato, la liquidità di BUNNY - la facilità con cui BUNNY può essere venduto sul mercato - è stata completamente eliminata.
Nel suo "Go Forward Plan", Pancake Bunny ha delineato i passi che stanno prendendo per guidare il recupero di 1) TVL, 2) capitalizzazione di mercato e 3) compensare tutti per le loro perdite il prima possibile.
Cosa significa questo per prestiti flash, attacchi di prestito flash e piattaforme DeFi?
I prestiti flash sono unici nel senso che i mutuatari sono in grado di agire come una balena nei mercati con poca o nessuna garanzia, dando così a quasi tutti la possibilità di manipolare il mercato e sfruttare le vulnerabilità all'interno dei codici degli smart contract.
Come in qualsiasi settore nascente, all'inizio vengono commessi errori e il settore imparerà da questi tipi di attacchi. I sistemi e le infrastrutture verranno quindi rafforzati e rafforzati per garantire transazioni sicure per coloro che utilizzano piattaforme DeFi.
- 000
- 7
- 9
- aggiuntivo
- Vantaggio
- Tutti
- analista
- applicazioni
- articolo
- attività
- Attività
- Banca
- Miliardo
- binance
- blockchain
- bnb
- BRIDGE
- capitale
- codice
- contratto
- crypto
- cryptocurrencies
- decentrata
- Finanza decentralizzata
- DeFi
- guida
- Inglese
- ETH
- Ethereum
- Cambi Merce
- Sfruttare
- agricoltura
- Costi
- finanziare
- finanziario
- Cromatografia
- modulo
- Avanti
- fondi
- futuro
- Dare
- Crescita
- incidere
- Come
- HTTPS
- Impact
- industria
- Infrastruttura
- Innovazione
- indagine
- IT
- grandi
- IMPARARE
- prestito
- Liquidità
- fornitori di liquidità
- Prestiti e finanziamenti
- LP
- LP
- Fare
- Rappresentanza
- Market Cap
- Mercati
- medie
- milione
- monitoraggio
- Più popolare
- rete
- minimo
- Altro
- PC
- piattaforma
- Piattaforme
- pool
- Piscine
- Popolare
- prezzo
- Profitto
- recupero
- Report
- riparazioni
- problemi
- sicura
- vendita
- Truffatori
- Sellers
- senso
- Serie
- Condividi
- SIX
- smart
- smart contract
- So
- Software
- venduto
- Stage
- rubare
- fornire
- sistema
- SISTEMI DI TRATTAMENTO
- The Vault
- token
- Tokens
- Trading
- Le transazioni
- Uniswap
- USDT
- APPREZZIAMO
- Volta
- vulnerabilità
- OMS
- entro
- valore
- dare la precedenza
