오늘 초 DeFi 수익률 애그리 게이터 인 Pancake Bunny는 공격자가 몇 초 만에 약 45 천 XNUMX 백만 달러를 벌어들이는 순간 대출 공격을 받았습니다.
키커? 위반 된 사항은 없습니다. 공격자는 플래시 대출 (DeFi의 혁신)과 DeFi 플랫폼의 소프트웨어 취약성 두 가지를 이용했습니다.
배경
10 월 34 일 목요일 20:XNUMX UTC에 Binance Smart Chain (BSC)을 기반으로 구축 된 DeFi 수익률 농업 애그리 게이터이자 최적화 프로그램 인 Pancake Bunny가 Bunny 프로토콜의 코드를 악용 한 플래시 대출 공격을 받았습니다. 해킹에 대해 자세히 알아보기 전에 다음과 같은 몇 가지 용어를 숙지해야합니다.
플래시 대출 공격 : 플래시 대출은 블록 체인에 새 블록을 생성하는 데 걸리는 시간 내에 이루어지고 반환되는 대출입니다. 대출자가 담보를 내려 놓을 필요가없는 대출입니다. 차용자는 새 블록이 형성되기 전에 금액에 대한 이익을 빠르게 뒤집고 초기 대출을 반환합니다. 플래시 대출 공격에서 사기꾼은 시장을 조작하거나 코드 내의 소프트웨어 취약성을 악용하기 위해 대출을받습니다.
AMM (Automated Market Maker) : 모든 탈 중앙화 거래소가 AMM 플랫폼은 아니지만 가장 인기있는 DEX 중 일부는 다음과 같습니다. AMM 플랫폼을 사용하면 구매자와 판매자를 하나로 묶는 전통적인 주문서가 아닌 프로그래밍 된 유동성 풀을 사용하여 암호 화폐를 자동으로 거래 할 수 있습니다.
유동성 풀 : 유동성은 가격에 큰 영향을주지 않고 한 자산이 다른 자산으로 얼마나 쉽게 전환 될 수 있는지를 나타냅니다. AMM 플랫폼은 분산 된 거래, 대출 및 기타 금융 기능을 촉진하기 위해 스마트 계약을 통해 자금을 유동성 풀로 수집합니다. Uniswap 또는 PancakeSwap과 같은 분산 형 거래소의 경우 유동성 풀을 통해 플랫폼이 원활하게 작동 할 수 있습니다.
유동성 공급자 및 LP 토큰 : 유동성 공급자는 토큰이 플랫폼에서 쉽게 거래 될 수 있도록 유동성 풀에 자산을 공급하도록 인센티브를받습니다. 예를 들어, 풀 내 거래를 통해 생성 된 수수료의 일부는 유동성 공급자를 "회수"하는 데 사용될 수 있습니다. 또한 유동성 공급자가 자산을 풀에 기여할 때 AMM 플랫폼은 LP 토큰을 자동으로 생성하여 기본 플랫폼 또는 다른 DeFi 앱에서 다른 기능에서도 사용할 수 있으므로 유동성 공급자는 더 큰 수익.
총 가치 잠금 (TVL) : 탈 중앙화 금융의 성장을 보여주는 사실상의 척도로 사용되는 총 가치는 DeFi에 예치 된 자본의 양입니다. 종종 거래 풀의 대출 담보 또는 유동성의 형태로 제공됩니다.
지금까지 우리는 무엇을 알고 있습니까?
팬케이크 버니로부터 1 억 달러가 도난 당했다는 이전 보고서와는 달리, 이고르 이감 베르디 예프The Block Crypto의 연구 분석가는 실제로 약 45 천 114,000 백만 달러 (XNUMX WBNB)가 도난 당했다고 밝혔습니다. 공격자는 PancakeSwap (PCS)을 통해 플래시 대출을 이용했습니다.
1/6
오늘날 BUNNY 토큰은 BSC의 Bunny Finance에서 1 억 달러 이상의 가치가있는 토큰이 발행되어 40 천만 달러 이상이 도난당했습니다.
– 114k WBNB ($ 40 만)
– 697k 버니이런 이유로 BUNNY 가격은 $ 146에서 $ 6으로 떨어졌습니다. 트윗 담아 가기
— 이고르 이감베르디예프(@FrankResearcher) 2021 년 5 월 20 일
일련의 트윗에서 Igor는 공격자의 행동을 XNUMX 단계로 나눴는데, 이는 Pancake Bunny의 확인을 받았습니다. 검시:
6/6
현재 공격자는 Nerve 브리지를 통해 이미 10.1k ETH ($ 23.5M)를 이더 리움으로 인출했으며, 또 다른 $ 14M은 BSC 주소에 있습니다. 트윗 담아 가기
— 이고르 이감베르디예프(@FrankResearcher) 2021 년 5 월 20 일
- 익스플로잇을 준비하기 위해 1BNB 상당의 USDT를 Bunny USDT-WBNB Vault에 예치했습니다. 이 예금의 결과로 9.275 LP가 생성되었습니다.
- 2.3 개의 PancakeSwap 풀에서 704 만 BNB (2.9 억 XNUMX 천만 달러)를 빌 렸고 플래시 대출을 사용하여 ForTube Bank에서 XNUMX 만 USDT를 빌 렸습니다.
- 7,700 단계에서 생성 된 LP 토큰과 함께 추가 2.9 BNB 및 1 만 USDT의 유동성을 PancakeSwap USDT-WBNB 풀에 입금했습니다.
- PancakeSwap USDT-WBNB 풀을 통해 2.3 만 BNB를 USDT로 거래하여 풀을 BNB로 가득 채우고 풀에있는 USDT의 양을 크게 줄였습니다.
- PancakeSwap USDT-WBNB 풀의 LP를 통해 Bunny Finance는 악용자가 시스템에 많은 양의 BNB를 추가하여 시스템이 7 만 BUNNY (1 억 달러)를 발행하도록했다고 믿었습니다.
- Exploiter는 4.8 만 WBNB와 2.3 만 USDT에 2.9 만 BUNNY를 매각하여 2 단계에서 빌린 플래시 대출을 상환하는 데 사용했습니다.
팬케이크 버니의“앞으로 계획,”모든 보관소가 안전하며 어떤 보관소도 침해되지 않았습니다. 그러나 5 단계에서 새로 생성 된 BUNNY가 시장에 넘쳐나 자 BUNNY의 가격이 폭락했습니다. Pancake Bunny의 TVL의 일부는 BUNNY에 있습니다. 따라서 보관소 자체는 침해되지 않았지만 TVL은 여전히 손실되었습니다.
이 공격으로 누가 다쳤습니까?
초등 회, BUNNY 보유자는 두 가지 방법으로이 사건으로 인해 가장 많이 다친 사람들입니다.
- 허공에서 생성 된 7 만 BUNNY 토큰으로 기존 토큰이 희석되어 BUNNY 가격이 하락했습니다.
- 시장에서 BUNNY 토큰의 판매로 인해 BUNNY의 유동성 (시장에서 BUNNY를 쉽게 판매 할 수 있음)이 완전히 손상되었습니다.
Pancake Bunny는 "Go Forward Plan"에서 1) TVL, 2) 시가 총액 및 3) 모든 사람의 손실을 최대한 빨리 보상하기 위해 취하고있는 조치를 설명했습니다.
이것은 플래시 대출, 플래시 대출 공격 및 DeFi 플랫폼에 어떤 의미가 있습니까?
플래시 대출은 차용자가 담보가 거의 또는 전혀없이 시장에서 고래처럼 행동 할 수 있다는 점에서 독특하므로 거의 모든 사람이 스마트 계약 코드 내에서 시장을 조작하고 취약점을 악용 할 수 있습니다.
모든 초기 산업과 마찬가지로 처음에는 오류가 발생하며 산업은 이러한 유형의 공격으로부터 학습 할 것입니다. 그런 다음 DeFi 플랫폼을 사용하는 사람들의 안전한 거래를 보장하기 위해 시스템과 인프라가 강화되고 강화됩니다.
- 000
- 7
- 9
- 추가
- 이점
- All
- 분석자
- 앱
- 기사
- 유산
- 자산
- 은행
- 억원
- 빈스
- blockchain
- BNB
- 다리
- 자본
- 암호
- 계약
- 암호화는
- 크립토 통화를
- 분산 된
- 분산 금융
- DeFi
- 운전
- 영어
- ETH
- 이더리움
- 교환
- 공적
- 농업
- 지우면 좋을거같음 . SM
- 재원
- 금융
- 플래시
- 형태
- 앞으로
- 자금
- 미래
- 기부
- 성장
- 마구 자르기
- 방법
- HTTPS
- 영향
- 산업
- 인프라
- 혁신
- 조사
- IT
- 넓은
- 배우다
- 대출
- 유동성
- 유동성 공급자
- 융자
- LP
- LP
- 유튜브 영상을 만드는 것은
- 시장
- 시총
- 시장
- 매질
- 백만
- 모니터링
- 가장 인기 많은
- 그물
- 주문
- 기타
- PC를
- 플랫폼
- 플랫폼
- 풀
- 수영장
- 인기 문서
- 가격
- 이익
- 회복
- 보고서
- 연구
- 반품
- 가장 안전한 따뜻함
- 판매
- 사기꾼
- 판매자
- 감각
- 연속
- 공유
- SIX
- 스마트 한
- 똑똑한 계약
- So
- 소프트웨어
- 판매
- 단계
- 훔친
- 공급
- 체계
- 시스템은
- 볼트
- 토큰
- 토큰
- 트레이딩
- 거래 내역
- 트위터
- Uniswap
- USDT
- 가치
- 둥근 천장
- 취약점
- 누구
- 이내
- 가치
- 수율