Belt Finance sfruttato per 6.2 milioni di dollari in un attacco di prestito flash

Belt Finance è l'ultimo progetto di finanza decentralizzata (DeFi) basato su Binance Smart Chain a perdere milioni di dollari dopo che un hacker sconosciuto ha eseguito un cosiddetto attacco di prestito flash al protocollo.

Belt Finance è uno scambio decentralizzato simile a Uniswap ma è stato ottimizzato per i trasferimenti di stablecoin piuttosto che per asset crittografici più volatili.

L'attacco, effettuato sabato sera, ha visto il pool 4Belt perdere 6,234,753 BUSD, una stablecoin ancorata al dollaro USA costruita su Binance Chain. Secondo il progetto verbale di incidente, è stato eseguito "con la massima precisione" utilizzando un metodo dal quale il team non è riuscito a salvaguardarsi.

Con l'aiuto di un contratto intelligente che utilizzava PancakeSwap per prestiti flash, l'attaccante è riuscito a sfruttare il pool beltBUSD e i suoi protocolli strategici sottostanti. L'hacker ha eseguito il contratto otto volte prima che gli sviluppatori venissero a conoscenza dell'incidente, interrompendo prelievi e depositi e riparando la vulnerabilità.

Mentre l'attacco è durato solo dieci minuti, è stato sufficiente per gli utenti del vault beltBUSD subire una perdita di fondi del 21.36%, mentre gli utenti del pool 4Belt hanno perso il 5.51%, ha detto il team. Il costo combinato dell'attacco è stato di 50,030,452 BUSD, con 43,795,699 BUSD utilizzati come commissioni di transazione.

Secondo Belt Finance, i prelievi e i depositi di fondi riprenderanno entro le prossime 24-48 ore. Il team sta anche lavorando a un piano di compensazione che sarà dettagliato entro le prossime 48 ore.

Cos'è un attacco di prestito flash?

Un attacco di prestito flash è un tipo di attacco DeFi in cui un hacker prende un prestito flash da un protocollo di prestito e utilizza una serie di trucchi per manipolare il mercato a proprio favore.

Prestiti flash sono prestiti non garantiti che il mutuatario fa e rimborsa in un'unica transazione. Sono utili in questo tipo di attacchi perché consentono un facile accesso al capitale: in pochi secondi l'attaccante può prendere in prestito capitale, sfruttare una vulnerabilità per milioni di dollari e rimborsare il prestito iniziale, tutto in una singola transazione. Se, invece, il prestito non viene rimborsato, l'intera transazione viene annullata.

Economici da realizzare e facili da cavarsela, spesso comportano l'uso di diversi protocolli DeFi per nascondere le tracce e possono essere eseguiti in pochi secondi.

Dal 2020, gli attacchi di prestito flash hanno provocato diverse centinaia di milioni di dollari di perdite per vari protocolli DeFi e sembrano guadagnare più popolarità tra i criminali informatici, con più progetti basati su Binance Chain presi di mira nelle ultime settimane.

All'inizio di questo mese, pancakebunny, uno scambio decentralizzato (DEX) costruito sul BSC, è stato vittima di un attacco di prestito lampo e ha perso 45 milioni di dollari in fondi degli utenti. Pochi giorni dopo, Burger Swap DEX è stato preso di mira con un attacco simile, con un totale di $ 7.2 milioni prosciugati dal suo portafoglio.

In altre occasioni quest'anno, tra cui i progetti BSC Finanza dell'uranio, guadagna, Protocollo spartano, autosqualoe Laboratori Merlino, sono tutti caduti vittima di una serie di diversi exploit.

Tuttavia, potrebbe esserci un po' di luce alla fine del tunnel per i protocolli basati su BSC; la scorsa settimana, la società di intelligence crittografica CipherTrace aggiunto supporto per la blockchain, fornendo strumenti per rilevare attività sospette sulla catena.

Fonte: https://decrypt.co/72358/belt-finance-exploited-6-2-million-flash-loan-attack