Tidligere i dag fikk DeFi avkastningsoppdretter, Pancake Bunny, et flash-låneangrep med angriperen som slo seg av med omtrent 45 millioner dollar i løpet av sekunder.
Kickeren? Ingenting ble brutt. Angriperen benyttet seg av to ting: flash-lån (en innovasjon i DeFi) og programvaresårbarhet på en DeFi-plattform.
Bakgrunn
Klokken 10:34 UTC torsdag 20. mai fikk Pancake Bunny, en DeFi avkastningsaggregat og optimizer bygget på Binance Smart Chain (BSC), et flash-låneangrep som utnyttet koden på Bunny-protokollen. Før vi kommer inn i detaljene om hacket, bør vi gjøre oss kjent med noen terminologi:
Flash-låneangrep: Et flash-lån er et lån som lages og returneres innen tidsrammen det tar å opprette en ny blokk på blockchain. Det er et lån som ikke krever at låntakeren stiller sikkerhet. Låntakeren vil raskt vende et overskudd på beløpet og returnere det opprinnelige lånet før en ny blokk dannes. I et flash-låneangrep vil svindleren ta lånet for å manipulere markedet og / eller utnytte programvaresårbarheter i koden.
Automated Market Makers (AMM): Selv om ikke alle desentraliserte børser er AMM-plattformer, er det noen av de mest populære DEX-ene. AMM-plattformer lar kryptovalutaer handles automatisk ved hjelp av et programmert likviditetsbasseng i stedet for en tradisjonell ordrebok, som samler kjøpere og selgere.
Likviditetsbassenger: Likviditet refererer til hvor enkelt en eiendel kan konverteres til en annen uten å ha stor prispåvirkning. AMM-plattformer samler inn midler i et likviditetsbasseng via en smart kontrakt for å legge til rette for desentralisert handel, utlån og andre økonomiske funksjoner. For desentraliserte børser som Uniswap eller PancakeSwap, gjør likviditetsbassenger plattformene i orden.
Likviditetsleverandører og LP-tokens: Likviditetsleverandører blir stimulert til å forsyne likviditetsbassenger med eiendeler slik at poletter lett kan handles på plattformen. For eksempel kan en del av gebyrene generert ved handel i bassenget brukes til å "tilbakebetale" likviditetsleverandører. I tillegg, når likviditetsleverandører bidrar med eiendeler til et basseng, vil AMM-plattformen automatisk generere et LP-token, som da også kan brukes i andre funksjoner - enten på den opprinnelige plattformen eller på andre DeFi-apper - slik at likviditetsleverandører kan motta jevn større avkastning.
Total verdi låst (TVL): Brukt som de facto-beregningen for å vise veksten av desentralisert finansiering, er den totale verdien låst mengden kapital som er deponert i DeFi - ofte i form av lånesikkerhet eller likviditet i et handelsbasseng.
Hva vet vi så langt?
I motsetning til tidligere rapporter om $ 1 milliard stjålet fra Pancake Bunny, Igor Igamberdiev, forskningsanalytiker ved The Block Crypto, avslørte at det faktisk ble stjålet omtrent 45 millioner dollar (114,000 XNUMX WBNB). Angriperen utnyttet bruken av flash-lån via PancakeSwap (PCS).
1/6
I dag ble BUNNY-tokens til en verdi av $ 1B + myntet fra Bunny Finance på BSC, noe som resulterte i $ 40M + ble stjålet:
- 114 40 WBNB ($ XNUMX millioner)
- 697k BUNNYAv denne grunn falt BUNNY-prisen fra $ 146 til $ 6👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) Kan 20, 2021
I en serie tweets brøt Igor angriperens handlinger i seks trinn, som ble bekreftet av Pancake Bunny's post-mortem:
6/6
For øyeblikket har angriperen allerede trukket 10.1k ETH ($ 23.5M) til Ethereum gjennom Nerve bridge, og ytterligere $ 14M er på deres BSC-adresse. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) Kan 20, 2021
- Deponerte USDT på USD 1 til Bunny USDT-WBNB Vault for å iscenesette utnyttelsen. 9.275 LP-er ble generert som et resultat av dette innskuddet.
- Lånte 2.3 millioner BNB (704 millioner dollar) fra syv PancakeSwap-bassenger og 2.9 millioner USDT fra ForTube Bank ved hjelp av flash-lån.
- Deponerte ytterligere 7,700 BNB og 2.9 millioner USDT i likviditet til PancakeSwap USDT-WBNB-bassenget, sammen med LP-tokens generert fra trinn 1.
- Handlet 2.3 millioner BNB til USDT gjennom PancakeSwap USDT-WBNB bassenget, flommet bassenget med BNB og reduserte mengden USDT i bassenget betydelig.
- Med LP-en i PancakeSwap USDT-WBNB-bassenget, trodde Bunny Finance at utbytteren la til en stor mengde BNB i systemet, noe som fikk systemet til å lage 7M BUNNY (1 milliard dollar).
- Exploiter solgte deretter 4.8M BUNNY for 2.3M WBNB og 2.9M USDT, som den deretter brukte til å tilbakebetale flashlånene som ble lånt i trinn 2.
Som angitt i Pancake Bunny's “Gå fremover, ”Alle hvelvene er trygge og ingen hvelv er brutt. Men når den nylig pregede BUNNY fra trinn 5 flommet over markedet, krasjet prisen på BUNNY. En del av Pancake Bunny's TVL er i BUNNY, og dermed - mens hvelvet ikke ble brutt - TVL var fortsatt tapt.
Hvem ble skadet av dette angrepet?
Primær, holdere av BUNNY er de som ble skadet mest av denne hendelsen på to måter:
- Med 7 millioner BUNNY-tokens skapt ut av tynn luft, ble eksisterende tokens utvannet, noe som satte prisen på BUNNY ned.
- På grunn av salget av BUNNY-tokens i markedet, ble likviditeten til BUNNY - den enkle måten BUNNY kan selges på markedet - fullstendig av.
I sin "Go Forward Plan" skisserte Pancake Bunny trinnene de tar for å øke utvinningen av 1) TVL, 2) markedsverdi og 3) kompensere alle for tapene så snart som mulig.
Hva betyr dette for flash-lån, flash-låneangrep og DeFi-plattformer?
Flash-lån er unike i den forstand at låntakere er i stand til å oppføre seg som en hval i markedene med liten eller ingen sikkerhet, og gir dermed nesten alle muligheten til å manipulere markedet og utnytte sårbarheter innenfor smarte kontraktkoder.
Som med enhver begynnende industri, blir det gjort feil i begynnelsen, og industrien vil lære av denne typen angrep. Systemer og infrastruktur vil da bli håndhevet og styrket for å sikre trygge transaksjoner for de som bruker DeFi-plattformer.
- 000
- 7
- 9
- Ytterligere
- Fordel
- Alle
- analytiker
- apps
- Artikkel
- eiendel
- Eiendeler
- Bank
- Milliarder
- binance
- blockchain
- BNB
- BRO
- hovedstad
- kode
- kontrakt
- krypto
- cryptocurrencies
- desentralisert
- Desentralisert økonomi
- Defi
- kjøring
- Engelsk
- ETH
- ethereum
- Børser
- Exploit
- oppdrett
- avgifter
- finansiere
- finansiell
- Blitz
- skjema
- Forward
- midler
- framtid
- Giving
- Vekst
- hack
- Hvordan
- HTTPS
- Påvirkning
- industri
- Infrastruktur
- Innovasjon
- etterforskning
- IT
- stor
- LÆRE
- utlån
- Likviditet
- likviditetsleverandører
- Lån
- LP
- LP
- Making
- marked
- Market Cap
- Markets
- medium
- millioner
- overvåking
- Mest populær
- nett
- rekkefølge
- Annen
- PC-er
- plattform
- Plattformer
- basseng
- pools
- Populær
- pris
- Profit
- utvinning
- Rapporter
- forskning
- avkastning
- trygge
- salg
- svindlere
- selgere
- forstand
- Serien
- Del
- SIX
- Smart
- smart kontrakt
- So
- Software
- solgt
- Scene
- stjålet
- levere
- system
- Systemer
- The Vault
- token
- tokens
- trading
- Transaksjoner
- Unwap
- USDT
- verdi
- Vault
- Sikkerhetsproblemer
- HVEM
- innenfor
- verdt
- Utbytte