פרויקט שרשרת חכמה נוספת של Binance נוצל על ידי מתקפת הלוואות בזק, כאשר פלטפורמת DeFi BurgerSwap הייתה הפעם הקורבן. על פי א פוסט לצפצף נכתב על ידי צוות Burgerswap, היו כ- 7.2 מיליון דולר בכספים שאבדו מהניצול.
ההפסד הכולל הנוכחי הוא סביב 7 מיליון דולר ואנחנו נשתדל לכסות את כל ההפסד שלך.
- BurgerSwap (@burger_swap) מאי 28, 2021
מה הם הלוואות פלאש בדיוק?
להלוואות פלאש, שהן הלוואות מבוססות בלוקצ'יין בהן ניתן ללוות אסימונים, יש מאפיינים ייחודיים מסוימים השונים מהלוואות מסורתיות יותר. ראשית, הם משתמשים בחוזים חכמים, כאשר על הלווה להחזיר את ההלוואה לפני סיום העסקה, או שהחוזה החכם מבטל או מבטל את העסקה.
יתר על כן, אין ביטחונות נדרשים להלוואות בזק. במקום זאת, על הלווה להחזיר את החזרו בעת הסדרת הלוואת ההבזק - שלעתים קרובות היא מיידית. לפיכך, הלווה צריך להסתמך על מספר חוזים חכמים אחרים כדי לבצע עסקאות עם הכספים המושאלים לפני הסדר העסקה.
טעות המפתח של BurgerSwap
בעוד שמנצלים באמצעות הלוואות פלאש הפכו לנושא חוזר, ההתקפה הייתה אפשרית רק מכיוון שהפלטפורמה חסרה שורת קוד מכריעה. לדברי מייסד UniSwap היידן אדמס, BurgerSwap התבסס על הקוד של Uniswap V2, אך קו מסוים הוסר והפך את הפלטפורמה ל"נקזת ".
החוט הזה נשמע מסובך. הנה מה שקרה בפשטות רבה.
Uniswap v2 מזלג הסיר את השורה היחידה שאוכפת את x * y = k מהליבה:
אז ניתן לנקז ליבה טריוויאלית מאוד.
זה השורה שהוסרה:https://t.co/iN3nc1xMTm
iWoNDerWhYTHyDtHAt https://t.co/B9TN3KP25U
- היידן אדמס 🦄 (@haydenzadams) מאי 28, 2021
עקב שורת הקוד היחידה החסרה, המנצלים יכלו לבצע שתי עסקאות נפרדות כאשר במציאות הם היו צריכים להיות מסוגלים לבצע אחת. זה רימה את הפרוטוקול של Burgerswap לסגירת עסקה אחת, והשאיר את הלווה לשמור על מאגר הכסף שנותר.
אותו ניצול נעשה על 14 עסקאות שונות, וגנבו מגוון אסימונים כולל מטבע Binance Wrapped (WBNB), Ethereum (ETH), ו- Burger Swap (BURGER).
"ההפסד הכולל הנוכחי הוא סביב 7 מיליון דולר ואנחנו נשתדל לכסות את כל ההפסד שלך," בורגרסאפ צייץ מוקדם יותר היום. "אנו מבינים ממה הכי דואגת לקהילה. תוכנית פיצויים מפורטת בדרך ".
תמונה מוצגת מ- UnSplash