מתקפת החלפת פלאש של DeFi מנקזת כספים תקועים של 3.6 מיליון דולר

התקפות הלוואות פלאש על מימון מבוזר (DeFi) הפרוטוקולים הגיעו עבים ומהר במהלך החודשים האחרונים. האחרון שנפל קורבן הוא Bogged Finance.

בנתיחה שלאחר המוות שפורסם ב-23 במאי, אבטחה חברת PeckShield פירטה את המתקפה שהובילה לשחקן זדוני שהצליח להרוויח 3.6 מיליון דולר.

פיננסים שקועים הוא א DeFi פלטפורמה המאפשרת למשתמשים לחקור ולבצע הזמנות עבור כל אסימון ב- Binance Smart Chain באמצעות פלטפורמת הזמנה מוגבלת המנצלת את הנזילות של PancakeSwap.

בהתקפה כלכלית דומה לזו ש ממוקד PancakeBunny בשבוע שעבר, האקר הצליח לנפח את יתרת האסימון של BOG לפני שמכר אותם בשוק תמורת רווח מסודר.

PeckShield פירט כי התקרית נבעה מבאג המאפשר לתוקף להגדיל את האיזון באמצעות העברה עצמית.  

פרוטוקולי DeFi תחת אש

הניצול נבע מבאג בחוזה החכם האסימון שנועד להיות דפלציוני על ידי חיוב של 5% מהסכום המועבר. מתוך אותם 5%, 1% נשרף ו-4% נלקחים כשכר טרחה עבור החזקה ברווחים.

החוזה גובה רק 1% מהסכום המועבר אך עדיין מנפח את ה-4% כרווח ההימור. תוך ניצול זה, ההאקר ביצע מספר חילופי פלאש על מנת לבצע שוב ושוב העברות עצמיות כדי לנפח את רווחי ההימור.  

תשעה פלאש-swaps, הדומים מאוד ל הלוואות פלאש, שימשו להוספת נזילות למאגר wBNB/BOG. כל החלפה יצרה 47,770 BOG שצרכו 88,159 BNB עטופים עם 83,440 אסימוני מאגר נזילות שהוטבעו.

אסימוני LP אלה הופקדו בחוזה אסימון BOG לחלוקת רווחים. התוקף ביצע 434 העברות עצמיות עם סכום העברה כולל של 18.74 מיליון BOG, וכתוצאה מכך יתרה מוגברת של 151,000 BOG עקב באג קוד החוזה. התוקף מכר את ה-BOG בשוק, החזיר את הלוואות הבזק והניב רווח של 3.6 מיליון דולר.

הפרוטוקול הודיע שהיא תעבור לחוזה חדש ומצפה לשרוף 7.5 מיליון אסימוני BOG בתהליך.

"נעשה אז הצנחה אסימוני הנזילות בחזרה לבעליהם החוקיים, ולאחר מכן מחזירים את $BOG בבעלות חוקית ונרכשה לבעליהם."

מחיר אסימון BOG קורס

באופן לא מפתיע, כאשר כמחצית מהנזילות הוסרה מהפרוטוקול, זה מחיר סמלי ירד לאפס ביום ראשון לפי CoinGecko. לפני הקריסה הוא נסחר בסביבות 2 דולר.

Bogged Finance הסבירה כי הסירה בעצמה את יתרת הנזילות לקראת ההגירה לחוזה החדש ואיזון האספקה ​​מחדש.