Eerder vandaag kreeg de DeFi-oogstlandbouwaggregator, Pancake Bunny, een flitsaanval waarbij de aanvaller binnen enkele seconden met ongeveer $ 45 miljoen vertrok.
De kicker? Niets werd geschonden. De aanvaller profiteerde van twee dingen: flitsleningen (een innovatie in DeFi) en softwarekwetsbaarheden op een DeFi-platform.
Achtergrond
Op donderdag 10 mei om 34:20 UTC kreeg Pancake Bunny, een DeFi-oogstlandbouwaggregator en optimizer gebouwd op Binance Smart Chain (BSC), een flashlening-aanval waarbij gebruik werd gemaakt van de code op het Bunny-protocol. Voordat we ingaan op de details van de hack, moeten we wat terminologie leren kennen:
Flitsaanval: Een flitslening is een lening die wordt gemaakt en geretourneerd binnen het tijdsbestek dat nodig is om een nieuw blok op de blockchain te maken. Het is een lening waarbij de lener geen onderpand hoeft te stellen. De lener zal snel een winst over het bedrag spiegelen en de oorspronkelijke lening terugbetalen voordat een nieuw blok wordt gevormd. Bij een flashlening-aanval zal de oplichter de lening aangaan om de markt te manipuleren en / of softwarekwetsbaarheden in de code te exploiteren.
Geautomatiseerde marktmakers (AMM's): Hoewel niet alle gedecentraliseerde uitwisselingen AMM-platforms zijn, zijn enkele van de meest populaire DEX's dat wel. Met AMM-platforms kunnen cryptocurrencies automatisch worden verhandeld met behulp van een geprogrammeerde liquiditeitspool in plaats van een traditioneel orderboek, dat kopers en verkopers samenbrengt.
Liquiditeitspools: Liquiditeit verwijst naar hoe gemakkelijk het ene activum in het andere kan worden omgezet zonder dat dit veel invloed heeft op de prijs. AMM-platforms verzamelen via een slim contract geld in een liquiditeitspool om gedecentraliseerde handel, kredietverlening en andere financiële functies te vergemakkelijken. Voor gedecentraliseerde beurzen zoals Uniswap of PancakeSwap zorgen liquiditeitspools ervoor dat de platforms soepel werken.
Liquiditeitsverschaffers en LP-tokens: Liquiditeitsverschaffers worden gestimuleerd om liquiditeitspools van activa te voorzien, zodat tokens gemakkelijk op het platform kunnen worden verhandeld. Een deel van de vergoedingen die worden gegenereerd door handel binnen de pool kan bijvoorbeeld worden gebruikt om liquiditeitsverschaffers "terug te betalen". Wanneer liquiditeitsverschaffers activa aan een pool bijdragen, genereert het AMM-platform bovendien automatisch een LP-token, dat vervolgens ook in andere functies kan worden gebruikt - hetzij op zijn eigen platform of op andere DeFi-apps - zodat liquiditeitsverschaffers zelfs meer rendement.
Totale waarde vergrendeld (TVL): Gebruikt als de de facto maatstaf om de groei van gedecentraliseerde financiering aan te tonen, is de totale vergrendelde waarde de hoeveelheid kapitaal die in DeFi is gestort - vaak in de vorm van onderpand voor leningen of liquiditeit in een handelspool.
Wat weten we tot nu toe?
In tegenstelling tot eerdere berichten over diefstal van $ 1 miljard van Pancake Bunny, Igor Igamberdiev, onderzoeksanalist bij The Block Crypto, onthulde dat in feite ongeveer $ 45 miljoen (114,000 WBNB) werd gestolen. De aanvaller maakte misbruik van het gebruik van flitsleningen via PancakeSwap (PCS).
1/6
Vandaag werden BUNNY-tokens ter waarde van $ 1 miljard + geslagen van Bunny Finance op BSC, wat resulteerde in $ 40 miljoen + werd gestolen:
- 114k WBNB ($ 40 miljoen)
- 697 KONIJNTJEOm deze reden daalde de BUNNY-prijs van $ 146 naar $ 6👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) 20 mei 2021
In een reeks tweets splitste Igor de acties van de aanvaller op in zes stappen, die werden bevestigd door Pancake Bunny's na de dood:
6/6
Op dit moment heeft de aanvaller al 10.1k ETH ($ 23.5 miljoen) teruggetrokken naar Ethereum via de zenuwbrug, en nog eens $ 14 miljoen staat op hun BSC-adres. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) 20 mei 2021
- 1BNB aan USDT gestort in de Bunny USDT-WBNB Vault om de exploit te organiseren. Als gevolg van deze aanbetaling zijn 9.275 LP's gegenereerd.
- 2.3 miljoen BNB ($ 704 miljoen) geleend van zeven PancakeSwap-pools en 2.9 miljoen USDT van ForTube Bank met behulp van flitsleningen.
- Stortte een extra 7,700 BNB en 2.9M USDT aan liquiditeit in de PancakeSwap USDT-WBNB-pool, samen met de LP-tokens die zijn gegenereerd in stap 1.
- Verhandelde 2.3 miljoen BNB naar USDT via de PancakeSwap USDT-WBNB-pool, waardoor de pool met BNB werd overspoeld en het aantal USDT's in de pool aanzienlijk werd verminderd.
- Met de LP in de PancakeSwap USDT-WBNB-pool, geloofde Bunny Finance dat de uitbuiter een grote hoeveelheid BNB aan het systeem had toegevoegd, waardoor het systeem 7M BUNNY ($ 1 miljard) kreeg.
- Exploiter verkocht vervolgens 4.8 M BUNNY voor 2.3 M WBNB en 2.9 M USDT, die het vervolgens gebruikte om de flitsleningen terug te betalen die in stap 2 waren geleend.
Zoals aangegeven in Pancake Bunny's “Ga vooruit Plan, ”Alle kluizen zijn veilig en er zijn geen kluizen doorbroken. Toen de nieuw geslagen BUNNY uit stap 5 echter de markt overspoelde, stortte de prijs van BUNNY in. Een deel van de TVL van Pancake Bunny bevindt zich in BUNNY, dus - terwijl de kluis zelf niet werd doorbroken - was TVL nog steeds verloren.
Wie is er gewond geraakt door deze aanval?
In de eerste plaats zijn de houders van BUNNY degenen die op twee manieren het meest door dit incident zijn gekwetst:
- Met 7 miljoen BUNNY-tokens die uit het niets zijn gemaakt, werden bestaande tokens verwaterd, waardoor de prijs van BUNNY daalde.
- Door de verkoop van BUNNY-tokens op de markt was de liquiditeit van BUNNY - het gemak waarmee BUNNY op de markt verkocht kan worden - volledig verzwakt.
In zijn "Go Forward Plan" schetste Pancake Bunny de stappen die ze nemen om het herstel van 1) TVL, 2) marktkapitalisatie en 3) iedereen zo snel mogelijk te compenseren voor hun verliezen.
Wat betekent dit voor flitsleningen, flitsaanvallen en DeFi-platforms?
Flash-leningen zijn uniek in die zin dat leners in staat zijn om zich als een walvis op de markten te gedragen met weinig tot geen onderpand, waardoor bijna iedereen de mogelijkheid krijgt om de markt te manipuleren en misbruik te maken van kwetsbaarheden binnen slimme contractcodes.
Zoals bij elke opkomende industrie, worden in het begin fouten gemaakt en zal de industrie leren van dit soort aanvallen. Systemen en infrastructuur zullen vervolgens worden afgedwongen en versterkt om veilige transacties te garanderen voor degenen die DeFi-platforms gebruiken.
- 000
- 7
- 9
- Extra
- Voordeel
- Alles
- analist
- apps
- dit artikel
- aanwinst
- Activa
- Bank
- Miljard
- binance
- blockchain
- bnb
- BRUG
- hoofdstad
- code
- contract
- crypto
- cryptocurrencies
- gedecentraliseerde
- Gedecentraliseerde financiën
- Defi
- aandrijving
- Engels
- ETH
- ethereum
- Exchanges
- Exploiteren
- landbouw
- vergoedingen
- financiën
- financieel
- flash
- formulier
- Naar voren
- fondsen
- toekomst
- Vrijgevigheid
- houwen
- Hoe
- HTTPS
- Impact
- -industrie
- Infrastructuur
- Innovatie
- onderzoek
- IT
- Groot
- LEARN
- kredietverlening
- Liquiditeit
- liquiditeitsverschaffers
- Leningen
- LP
- LPs
- maken
- Markt
- Marktkapitalisatie
- Markten
- Medium
- miljoen
- Grensverkeer
- Meest populair
- netto
- bestellen
- Overige
- PCs
- platform
- platforms
- zwembad
- Zwembaden
- Populair
- prijs
- Profit
- na een training
- Rapporten
- onderzoek
- Retourneren
- veilig
- sale
- Oplichters
- Verkopers
- zin
- -Series
- Delen
- ZES
- slim
- slim contract
- So
- Software
- uitverkocht
- Stadium
- gestolen
- leveren
- system
- Systems
- De kluis
- teken
- tokens
- Handel
- Transacties
- X
- uniswap
- USDT
- waarde
- Gewelf
- kwetsbaarheden
- WIE
- binnen
- waard
- Opbrengst
