今日の初め、DeFiの収穫農業アグリゲーターであるPancake Bunnyは、攻撃者がほんの数秒で約45万ドルを稼ぎ出し、フラッシュローン攻撃を受けました。
キッカー? 何も違反していません。 攻撃者は、フラッシュローン(DeFiの革新)とDeFiプラットフォームのソフトウェアの脆弱性というXNUMXつのことを利用しました。
経歴
10月34日木曜日の20:XNUMXUTCに、Binance Smart Chain(BSC)上に構築されたDeFiイールドファーミングアグリゲーターおよびオプティマイザーであるPancake Bunnyが、Bunnyプロトコルのコードを悪用するフラッシュローン攻撃を受けました。 ハッキングの詳細に入る前に、次の用語について理解しておく必要があります。
フラッシュローン攻撃: フラッシュローンは、ブロックチェーン上に新しいブロックを作成するのにかかる時間枠内に行われ、返済されるローンです。 これは、借り手が担保を差し入れる必要のないローンです。 借り手はすぐに金額の利益を反転し、新しいブロックが形成される前に最初のローンを返します。 フラッシュローン攻撃では、詐欺師は市場を操作したり、コード内のソフトウェアの脆弱性を悪用したりするためにローンを利用します。
自動マーケットメーカー(AMM): すべての分散型取引所がAMMプラットフォームであるわけではありませんが、最も人気のあるDEXのいくつかはAMMプラットフォームです。 AMMプラットフォームでは、買い手と売り手をまとめる従来の注文書ではなく、プログラムされた流動性プールを使用して暗号通貨を自動的に取引できます。
流動性プール: 流動性とは、価格に大きな影響を与えることなく、ある資産を別の資産に簡単に変換できることを指します。 AMMプラットフォームは、分散型の取引、貸付、およびその他の金融機能を促進するために、スマートコントラクトを介して資金を流動性プールに収集します。 UniswapやPancakeSwapなどの分散型取引所の場合、流動性プールによりプラットフォームをスムーズに運用できます。
流動性プロバイダーとLPトークン: 流動性プロバイダーは、トークンがプラットフォーム上で簡単に取引できるように、流動性プールに資産を提供するように奨励されています。 たとえば、プール内での取引を通じて生成された料金の一部は、流動性プロバイダーを「返済」するために使用される場合があります。 さらに、流動性プロバイダーが資産をプールに提供すると、AMMプラットフォームは自動的にLPトークンを生成します。これは、ネイティブプラットフォームまたは他のDeFiアプリのいずれかで、他の機能でも使用できるため、流動性プロバイダーはより大きなリターン。
ロックされた合計値(TVL): 分散型ファイナンスの成長を示す事実上の指標として使用される、ロックされた合計値は、DeFiに預け入れられた資本の量であり、多くの場合、ローン担保または取引プールの流動性の形で行われます。
これまでに何を知っていますか?
Pancake Bunnyから1億ドルが盗まれたという以前の報告とは異なり、 イゴール・イガンベルディエフ、The Block Cryptoのリサーチアナリストは、実際には約45万ドル(114,000 WBNB)が盗まれたことを明らかにしました。 攻撃者は、PancakeSwap(PCS)を介してフラッシュローンの使用を悪用しました。
1/6
今日、1億ドル以上の価値のあるBUNNYトークンがBSCのBunny Financeから作成され、40万ドル以上が盗まれました。
– 114k WBNB($ 40M)
–697kバニーこのため、BUNNYの価格は146ドルから6ドルに下がりました👇 pic.twitter.com/BBVfWOHgZH
— Igor Igamberdiev(@FrankResearcher) 2021 年 5 月 20 日
一連のツイートで、Igorは攻撃者のアクションをXNUMXつのステップに分解しました。これは、PancakeBunnyの 死後:
6/6
現時点では、攻撃者はすでに10.1k ETH($ 23.5M)をNerveブリッジを介してEthereumに引き出しており、さらに$ 14MがBSCアドレスにあります。 pic.twitter.com/h9taC5bcPj
— Igor Igamberdiev(@FrankResearcher) 2021 年 5 月 20 日
- エクスプロイトをステージングするために、1BNB相当のUSDTをBunny USDT-WBNBVaultにデポジットしました。 このデポジットの結果、9.275LPが生成されました。
- フラッシュローンを使用して、2.3つのPancakeSwapプールから704万BNB(2.9億XNUMX万ドル)を借り、ForTubeBankからXNUMX万USDTを借りました。
- ステップ7,700で生成されたLPトークンとともに、追加の2.9BNBおよび1万USDTの流動性をPancakeSwapUSDT-WBNBプールに預け入れました。
- PancakeSwap USDT-WBNBプールを介して2.3万のBNBをUSDTに交換し、プールをBNBで溢れさせ、プール内のUSDTの量を大幅に減らしました。
- PancakeSwap USDT-WBNBプールにLPがあるため、Bunny Financeは、悪用者がシステムに大量のBNBを追加し、システムが7万バニー(1億ドル)をミントするきっかけになったと考えました。
- その後、Exploiterは4.8万バニーを2.3万WBNBと2.9万USDTで販売し、ステップ2で借りたフラッシュローンの返済に使用しました。
パンケーキバニーの「今後の計画、」すべてのボールトは安全であり、ボールトが侵害されたことはありません。 しかし、ステップ5で新しく作成されたBUNNYが市場に殺到すると、BUNNYの価格は暴落しました。 Pancake BunnyのTVLの一部はBUNNYにあるため、ボールト自体は侵害されていませんが、TVLはまだ失われています。
この攻撃で誰が怪我をしたのですか?
主に、BUNNYの所有者は、この事件でXNUMXつの方法で最も傷ついた人です。
- 薄い空気から7万のBUNNYトークンが作成されたため、既存のトークンは希薄化され、BUNNYの価格が下がった。
- 市場でのBUNNYトークンの販売により、BUNNYの流動性(市場でのBUNNYの販売のしやすさ)は完全に失われました。
Pancake Bunnyは、「Go Forward Plan」で、1)TVL、2)時価総額、3)すべての人の損失をできるだけ早く補償するために取っている手順の概要を説明しました。
これは、フラッシュローン、フラッシュローン攻撃、およびDeFiプラットフォームにとってどのような意味がありますか?
フラッシュローンは、借り手が担保なしで市場でクジラのように振る舞うことができるという点で独特であり、したがって、ほとんどすべての人が市場を操作し、スマートコントラクトコード内の脆弱性を悪用することができます。
他の初期の業界と同様に、最初はエラーが発生し、業界はこれらのタイプの攻撃から学習します。 その後、システムとインフラストラクチャが強化および強化され、DeFiプラットフォームを使用するユーザーの安全なトランザクションが保証されます。
- 000
- 7
- 9
- NEW
- 利点
- すべて
- アナリスト
- アプリ
- 記事
- 資産
- 資産
- 銀行
- 10億
- ビンランス
- ブロックチェーン
- BNB
- BRIDGE
- 資本
- コード
- 縮小することはできません。
- クリプト
- 暗号通貨
- 分権化された
- 分散金融
- DeFi
- 運転
- 英語
- ETH
- イーサリアム
- 交換について
- 悪用する
- 農業
- 費用
- ファイナンス
- ファイナンシャル
- フラッシュ
- フォーム
- フォワード
- 資金
- 未来
- 与え
- 成長性
- ハック
- 認定条件
- HTTPS
- 影響
- 産業を変えます
- インフラ
- 革新的手法
- 調査
- IT
- 大
- LEARN
- 貸し出し
- 流動性
- 流動性プロバイダー
- ローン
- LP
- LPを
- 作成
- 市場
- 時価総額
- マーケット
- ミディアム
- 百万
- モニタリング
- 一番人気
- net
- 注文
- その他
- パソコン
- プラットフォーム
- プラットフォーム
- プール
- プール
- 人気
- ブランド
- 利益
- 回復
- レポート
- 研究
- 収益
- 安全な
- 塩
- 詐欺師
- 販売
- センス
- シリーズ
- シェアする
- SIX
- スマート
- スマート契約
- So
- ソフトウェア
- 売ら
- ステージ
- 盗まれました
- 供給
- システム
- ボールト
- トークン
- トークン
- トレーディング
- 取引
- さえずり
- Uniswap
- USDT
- 値
- ボールト
- 脆弱性
- 誰
- 以内
- 価値
- 産出
