Atak błyskawicznej pożyczki na sieć BNB przyniósł rekordowy zysk w wysokości 1.57 mln dolarów

Najbardziej znaczący atak na pożyczkę błyskawiczną w sieci BNB miał miejsce 11 października, kiedy bot MEV osiągnął ogromny zysk z arbitrażu w wysokości 1.575 miliona dolarów.

Atak, który przeszedł przez sieć Pancakeswap DEX, kosztował sprawcę jedynie 4.16 dolara, co pozostawiło mu ogromne zyski.

Duży atak na pojedynczą pożyczkę błyskawiczną na łańcuch BNB

Jak wynika z doniesień, bot MEV o adresie 0x216Ccf w łańcuchu BNB okazał się rekordzistą pod względem największego pojedynczego zysku z arbitrażu w historii sieci.

EigenPhi, wiodąca firma zajmująca się analizą danych blockchain, ujawnił szczegóły, potwierdzając, że ogromny zysk był efektem dobrze zaplanowanego ataku manipulującego ceną na token BH.

Zasadniczo osoba atakująca wykorzystała lukę w systemie na kwotę około 1.27 miliona dolarów, natychmiast przekazując środki do popularnego miksera Tornado Cash.

Osoba atakująca pożyczyła dużą kwotę USDT za pomocą funkcji o identyfikatorze 0x33688938 i dodała USDT do umowy.

W normalnych warunkach wskaźniki płynności dla kontraktu kształtują się na poziomie około 1 USDT:100 BH. Następnie osoba atakująca zmanipulowała system, natychmiast zamieniając USDT na BH za pośrednictwem pary, a później usunęła płynność o identyfikatorze transakcji 0x4e290832.

Swap ten drastycznie wpłynął na współczynnik usuwania płynności, zmieniając się na około 1 USDT:2 BH, umożliwiając wycofanie jeszcze większej ilości USDT.

Seria transakcji została później potwierdzona przez Beosin, renomowaną firmę zajmującą się bezpieczeństwem blockchain, podkreślając jej celowy charakter. W całym procesie atakujący zarobił łącznie 1.575 miliona dolarów.

$BH token w łańcuchu BNB został wykorzystany za ~1.27 mln dolarów w związku z podejrzeniem manipulacji cenami. Zyski zostały przesłane do Tornado Cash.
Attacker: 0xFDbfcEEa1de360364084a6F37C9cdb7AaeA63464

Napastnik pożyczył dużą kwotę $ USDT, a następnie wywołaj 0x33688938(), aby dodać $ USDT do… pic.twitter.com/POppQswi7u

— Alarm Beosin (@BeosinAlert) 11 października 2023 r.

Adres bota MEV 0x216Ccf został prawdopodobnie utworzony 6 października i od tego czasu był nieaktywny, aż do daty ataku pożyczki flash. Adres licznika 0xFDbfcE był aktywny i obecnie przechowuje około 1,000 tokenów BNB o wartości 205.8 tys. dolarów.

Zagadka ataku w postaci pożyczki błyskawicznej

Atakujący będą to głównie pożyczki błyskawiczne wykorzystać mechanizm pożyczki flash w celu kradzieży środków użytkowników, podobnie jak w przypadku tokenów BH. W swoim czystym znaczeniu pożyczka błyskawiczna nie jest atakiem, ale systemem pozwalającym ludziom czerpać korzyści z handlu arbitrażowego.

W ciągu 24 godzin poprzedzających napisanie tego raportu dane EigenPhi sugerują, że w sieci Ethereum było około 278 pożyczek flash. W ciągu ostatnich 2,435 i 9,721 dni było ich odpowiednio 7 i 30. W ciągu ostatnich 2.2 dni pożyczki błyskawiczne o wartości transakcji przekroczyły 30 miliarda dolarów, co sugeruje szersze wykorzystanie tego mechanizmu.

Jednak wielu oszustów wykorzystuje pożyczki błyskawiczne do paraliżowania kryptosystemów i ukraść od inwestorów, jak w przypadku opisanym powyżej. W czerwcu tego roku protokół DeFi nazwany Sturdy Finance stracił 442 ETH o wartości 800 tys. dolarów w wyniku różnych włamań, w tym ataku w postaci pożyczki flash.