Wcześniej dzisiaj agregator DeFi zajmujący się hodowlą plonów, Pancake Bunny, padł ofiarą ataku błyskawicznej pożyczki, podczas której napastnik w ciągu kilku sekund zdobył około 45 milionów dolarów.
Kopacz? Nic nie zostało naruszone. Atakujący wykorzystał dwie rzeczy: pożyczki flash (innowacja w DeFi) i luki w oprogramowaniu na platformie DeFi.
Tło
O 10:34 UTC w czwartek, 20 maja, Pancake Bunny, agregator i optymalizator rolnictwa plonów DeFi zbudowany na Binance Smart Chain (BSC), padł ofiarą ataku pożyczki błyskawicznej, który wykorzystał kod protokołu Bunny. Zanim przejdziemy do szczegółów włamania, powinniśmy zapoznać się z pewną terminologią:
Atak na pożyczkę błyskawiczną: Pożyczka błyskawiczna to pożyczka, która jest udzielana i zwracana w czasie potrzebnym do utworzenia nowego bloku w łańcuchu bloków. Jest to pożyczka, która nie wymaga od pożyczkobiorcy żadnych zabezpieczeń. Pożyczkobiorca szybko odwróci zysk od kwoty i zwróci początkową pożyczkę przed utworzeniem nowego bloku. W przypadku ataku na pożyczkę błyskawiczną oszust bierze pożyczkę w celu manipulowania rynkiem i / lub wykorzystania luk w zabezpieczeniach oprogramowania w kodzie.
Zautomatyzowani animatorzy rynku (AMM): Chociaż nie wszystkie zdecentralizowane giełdy są platformami AMM, niektóre z najpopularniejszych DEX są. Platformy AMM umożliwiają automatyczny obrót kryptowalutami przy użyciu zaprogramowanej puli płynności zamiast tradycyjnej księgi zamówień, która łączy kupujących i sprzedających.
Pule płynności: Płynność odnosi się do tego, jak łatwo można przekształcić jeden składnik aktywów w inny bez większego wpływu na cenę. Platformy AMM gromadzą środki do puli płynności za pośrednictwem inteligentnego kontraktu w celu ułatwienia zdecentralizowanego handlu, pożyczek i innych funkcji finansowych. W przypadku giełd zdecentralizowanych, takich jak Uniswap lub PancakeSwap, pule płynności umożliwiają platformom płynne działanie.
Dostawcy płynności i tokeny LP: Dostawcy płynności są zachęcani do dostarczania puli płynności aktywami, aby tokeny mogły być łatwo przedmiotem obrotu na platformie. Na przykład część opłat generowanych przez handel w ramach puli może zostać wykorzystana do „zwrotu” dostawców płynności. Ponadto, gdy dostawcy płynności wnoszą aktywa do puli, platforma AMM automatycznie generuje token LP, który można następnie wykorzystać w innych funkcjach - na swojej natywnej platformie lub w innych aplikacjach DeFi - dzięki czemu dostawcy płynności mogą otrzymać nawet większe zyski.
Całkowita wartość zablokowana (TVL): Używana jako miara de facto do pokazania wzrostu zdecentralizowanych finansów, całkowita zablokowana wartość to kwota kapitału, który został zdeponowany w DeFi - często w formie zabezpieczeń pożyczki lub płynności w puli handlowej.
Co wiemy do tej pory?
Wbrew wcześniejszym doniesieniom o kradzieży 1 miliarda dolarów od Pancake Bunny, Igor Igamberdiew, analityk z The Block Crypto, ujawnił, że w rzeczywistości skradziono około 45 milionów dolarów (114,000 XNUMX WBNB). Atakujący wykorzystał pożyczki flash za pośrednictwem PancakeSwap (PCS).
1/6
Dzisiaj tokeny BUNNY o wartości ponad 1 miliarda dolarów zostały wybite z Bunny Finance na BSC, w wyniku czego skradziono ponad 40 milionów dolarów:
- 114 tys. WBNB (40 mln USD)
- 697k BUNNYZ tego powodu cena BUNNY spadła ze 146 $ do 6👇 $ pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) 20 maja 2021 r.
W serii tweetów Igor podzielił działania napastnika na sześć kroków, które zostały potwierdzone przez Pancake Bunny sekcja zwłok:
6/6
W tej chwili atakujący wycofał już 10.1 tys. ETH (23.5 mln USD) do Ethereum przez most Nerve, a kolejne 14 mln USD znajduje się na ich adresie BSC. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) 20 maja 2021 r.
- Zdeponowano USDT o wartości 1BNB w skarbcu Bunny USDT-WBNB w celu przeprowadzenia exploita. W wyniku tej lokaty wygenerowano 9.275 LP.
- Pożyczono 2.3 mln BNB (704 mln USD) z siedmiu pul PancakeSwap i 2.9 mln USDT od ForTube Bank, korzystając z pożyczek flash.
- Zdeponował dodatkowe 7,700 BNB i 2.9 mln USDT płynności do puli PancakeSwap USDT-WBNB, wraz z tokenami LP wygenerowanymi w kroku 1.
- Sprzedano 2.3 mln BNB na USDT za pośrednictwem puli PancakeSwap USDT-WBNB, zalewając pulę BNB i znacznie zmniejszając ilość USDT w puli.
- Z LP w puli PancakeSwap USDT-WBNB, Bunny Finance uważał, że exploiter dodał dużą ilość BNB do systemu, powodując, że system wybił 7 milionów BUNNY (1 miliard USD).
- Exploiter sprzedał następnie 4.8 mln BUNNY za 2.3 mln WBNB i 2.9 mln USDT, które następnie wykorzystał do spłaty szybkich pożyczek pożyczonych w kroku 2.
Jak wskazano w „Pancake Bunny's”Plan Idź naprzód, ”Wszystkie krypty są bezpieczne i żadne z nich nie zostało naruszone. Jednak gdy nowo wybity BUNNY z kroku 5 zalał rynek, cena BUNNY spadła. Część TVL Pancake Bunny jest w BUNNY, więc - podczas gdy same skarbiec nie został naruszony - TVL wciąż zaginął.
Kto został ranny w wyniku tego ataku?
Przede wszystkim posiadacze BUNNY to ci, którzy zostali najbardziej dotknięci tym incydentem na dwa sposoby:
- Z 7 milionami tokenów BUNNY utworzonych z powietrza, istniejące tokeny zostały rozcieńczone, obniżając cenę BUNNY.
- Ze względu na sprzedaż tokenów BUNNY na rynku, płynność BUNNY - łatwość, z jaką BUNNY może być sprzedawany na rynku - została całkowicie ograniczona.
W swoim planie „Go Forward”, Pancake Bunny nakreślił kroki, które podejmują, aby jak najszybciej przywrócić 1) TVL, 2) kapitalizację rynkową i 3) zrekompensować wszystkim poniesione straty.
Co to oznacza dla pożyczek błyskawicznych, ataków na pożyczki błyskawiczne i platform DeFi?
Pożyczki błyskawiczne są wyjątkowe w tym sensie, że pożyczkobiorcy mogą zachowywać się jak wieloryb na rynkach bez zabezpieczenia, dając w ten sposób prawie każdemu możliwość manipulowania rynkiem i wykorzystywania słabych punktów w kodach inteligentnych kontraktów.
Podobnie jak w przypadku każdej rodzącej się branży, na początku popełniane są błędy, a branża wyciągnie wnioski z tego typu ataków. Systemy i infrastruktura zostaną następnie wymuszone i wzmocnione, aby zapewnić bezpieczne transakcje dla osób korzystających z platform DeFi.
- 000
- 7
- 9
- Dodatkowy
- Korzyść
- Wszystkie kategorie
- analityk
- mobilne i webowe
- artykuł
- kapitał
- Aktywa
- Bank
- Miliard
- binance
- blockchain
- BnB
- BRIDGE
- kapitał
- kod
- umowa
- Crypto
- cryptocurrencies
- Zdecentralizowane
- Zdecentralizowane finanse
- DeFi
- jazdy
- Angielski
- ETH.
- ethereum
- Wymiana
- Wykorzystać
- rolnictwo
- Opłaty
- finansować
- budżetowy
- Migać
- Nasz formularz
- Naprzód
- fundusze
- przyszłość
- Dający
- Wzrost
- siekać
- W jaki sposób
- HTTPS
- Rezultat
- przemysł
- Infrastruktura
- Innowacja
- śledztwo
- IT
- duży
- UCZYĆ SIĘ
- pożyczanie
- Płynność
- dostawcy płynności
- Kredyty
- LP
- LP
- Dokonywanie
- rynek
- Cap rynkowy
- rynki
- średni
- milion
- monitorowanie
- Najbardziej popularne posty
- netto
- zamówienie
- Inne
- komputery
- Platforma
- Platformy
- basen
- Baseny
- Popularny
- Cena
- Zysk
- regeneracja
- Raporty
- Badania naukowe
- powraca
- "bezpiecznym"
- sprzedaż
- Oszuści
- Sprzedający
- rozsądek
- Serie
- Share
- SIX
- mądry
- inteligentna umowa
- So
- Tworzenie
- sprzedany
- STAGE
- skradziony
- Dostawa
- system
- systemy
- Vault
- żeton
- Żetony
- Handel
- transakcje
- i twitterze
- Uniswap
- USDT
- wartość
- Sklepienie
- Luki w zabezpieczeniach
- KIM
- w ciągu
- wartość
- Wydajność