Hoje cedo, o agregador de produção agrícola DeFi, Pancake Bunny, sofreu um ataque rápido de empréstimo com o atacante levando aproximadamente $ 45 milhões em questão de segundos.
O kicker? Nada foi violado. O invasor aproveitou duas coisas: empréstimos flash (uma inovação no DeFi) e vulnerabilidades de software em uma plataforma DeFi.
BACKGROUND
Às 10:34 UTC na quinta-feira, 20 de maio, Pancake Bunny, um agregador e otimizador de produção agrícola de DeFi construído no Binance Smart Chain (BSC) sofreu um ataque de empréstimo instantâneo que explorou o código no protocolo Bunny. Antes de entrarmos nos detalhes do hack, algumas terminologias com as quais devemos nos familiarizar:
Ataque de empréstimo instantâneo: Um empréstimo rápido é aquele que é feito e devolvido dentro do prazo necessário para criar um novo bloco no blockchain. É um empréstimo que não exige que o mutuário dê qualquer garantia. O mutuário rapidamente lucrará com a quantia e devolverá o empréstimo inicial antes que um novo bloco seja formado. Em um ataque de empréstimo instantâneo, o golpista tomará o empréstimo para manipular o mercado e / ou explorar vulnerabilidades de software dentro do código.
Formadores de mercado automatizados (AMMs): Embora nem todas as centrais descentralizadas sejam plataformas AMM, algumas das DEXs mais populares são. As plataformas AMM permitem que as criptomoedas sejam negociadas automaticamente usando um pool de liquidez programado em vez de uma carteira de pedidos tradicional, que reúne compradores e vendedores.
Poços de liquidez: A liquidez se refere à facilidade com que um ativo pode ser convertido em outro sem causar muito impacto no preço. As plataformas da AMM coletam fundos em um pool de liquidez por meio de um contrato inteligente para facilitar a descentralização das negociações, empréstimos e outras funções financeiras. Para bolsas descentralizadas, como Uniswap ou PancakeSwap, os pools de liquidez permitem que as plataformas operem sem problemas.
Provedores de liquidez e tokens LP: Provedores de liquidez são incentivados a fornecer pools de liquidez com ativos para que os tokens possam ser negociados facilmente na plataforma. Por exemplo, parte das taxas geradas por meio da negociação dentro do pool pode ser usada para “reembolsar” os provedores de liquidez. Além disso, quando os provedores de liquidez contribuem com ativos para um pool, a plataforma AMM irá gerar automaticamente um token LP, que também pode ser usado em outras funções - seja em sua plataforma nativa ou em outros aplicativos DeFi - para que os provedores de liquidez possam receber até maiores retornos.
Valor Total Bloqueado (TVL): Usado como métrica de fato para mostrar o crescimento das finanças descentralizadas, o valor total bloqueado é a quantidade de capital que foi depositada no DeFi - geralmente na forma de garantias de empréstimo ou liquidez em um pool de negociação.
O que sabemos até agora?
Ao contrário de relatórios anteriores de US $ 1 bilhão roubado do Pancake Bunny, Igor Igamberdiev, analista de pesquisa do The Block Crypto, revelou que, na verdade, aproximadamente $ 45 milhões (114,000 WBNB) foram roubados. O invasor explorou o uso de empréstimos flash por meio do PancakeSwap (PCS).
1/6
Hoje, tokens BUNNY no valor de $ 1 bilhão + foram cunhados da Bunny Finance no BSC, resultando em mais de $ 40 milhões roubados:
- 114k WBNB ($ 40M)
- 697k BUNNYPor esse motivo, o preço do BUNNY caiu de $ 146 para $ 6👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) 20 de maio de 2021
Em uma série de tweets, Igor dividiu as ações do atacante em seis etapas, que foram confirmadas pelo Pancake Bunny's Post-mortem:
6/6
No momento, o invasor já retirou 10.1 mil ETH ($ 23.5 milhões) para Ethereum através da ponte Nerve e outros $ 14 milhões estão em seu endereço BSC. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) 20 de maio de 2021
- Depositou 1BNB no valor de USDT para o Bunny USDT-WBNB Vault para encenar o exploit. 9.275 LPs foram gerados como resultado desse depósito.
- Emprestou 2.3 milhões de BNB ($ 704 milhões) de sete pools PancakeSwap e 2.9 milhões de USDT do ForTube Bank usando empréstimos rápidos.
- Depositou 7,700 BNB e 2.9M USDT adicionais de liquidez no pool PancakeSwap USDT-WBNB, junto com os tokens LP gerados na etapa 1.
- Negociei 2.3M de BNB para USDT por meio do pool PancakeSwap USDT-WBNB, inundando o pool com o BNB e diminuindo significativamente a quantidade de USDTs no pool.
- Com o LP no pool PancakeSwap USDT-WBNB, a Bunny Finance acreditava que o explorador adicionou uma grande quantidade de BNB ao sistema, acionando o sistema para cunhar 7M BUNNY ($ 1 bilhão).
- O Exploiter então vendeu 4.8 milhões de coelhos por 2.3 milhões de WBNB e 2.9 milhões de dólares t, que então usou para pagar os empréstimos instantâneos tomados na etapa 2
Conforme indicado no Pancake Bunny's “Vá em frente plano, ”Todos os cofres estão seguros e nenhum cofre foi violado. No entanto, quando o recém-criado BUNNY da etapa 5 inundou o mercado, o preço do BUNNY despencou. Uma parte do TVL do Pancake Bunny está em BUNNY, portanto - enquanto o cofre em si não foi violado - TVL ainda estava perdido.
Quem foi ferido com este ataque?
Primários, os titulares de BUNNY são os que mais sofreram com este incidente de duas maneiras:
- Com 7 milhões de tokens BUNNY criados do nada, os tokens existentes foram diluídos, reduzindo o preço do BUNNY.
- Devido à venda de tokens BUNNY no mercado, a liquidez do BUNNY - a facilidade com que o BUNNY pode ser vendido no mercado - foi completamente esgotada.
Em seu “Plano Go Forward”, a Pancake Bunny descreveu as etapas que estão tomando para impulsionar a recuperação de 1) TVL, 2) capitalização de mercado e 3) compensar a todos por suas perdas o mais rápido possível.
O que isso significa para empréstimos flash, ataques de empréstimo flash e plataformas DeFi?
Os empréstimos instantâneos são únicos no sentido de que os mutuários são capazes de agir como uma baleia nos mercados com pouca ou nenhuma garantia, dando a quase qualquer pessoa a capacidade de manipular o mercado e explorar vulnerabilidades dentro de códigos de contrato inteligentes.
Como acontece com qualquer indústria nascente, erros são cometidos no início e a indústria aprenderá com esses tipos de ataques. Os sistemas e a infraestrutura serão então aplicados e fortalecidos para garantir transações seguras para aqueles que usam as plataformas DeFi.
- 000
- 7
- 9
- Adicional
- Vantagem
- Todos os Produtos
- analista
- Aplicativos
- artigo
- ativo
- Ativos
- Bank
- bilhão
- binário
- blockchain
- bnb
- PONTE
- capital
- código
- contract
- cripto
- criptomoedas
- Descentralizada
- Finanças descentralizadas
- DeFi
- condução
- Inglês
- ETH
- ethereum
- Trocas
- Explorar
- agricultura
- Taxas
- financiar
- financeiro
- Flash
- formulário
- para a frente
- fundos
- futuro
- Dando
- Growth
- cortar
- Como funciona o dobrador de carta de canal
- HTTPS
- Impacto
- indústria
- Infraestrutura
- Inovação
- investigação
- IT
- grande
- APRENDER
- empréstimo
- Liquidez
- provedores de liquidez
- Empréstimos
- LP
- LPs
- Fazendo
- mercado
- Capitalização de mercado
- Mercados
- média
- milhão
- monitoração
- Mais populares
- líquido
- ordem
- Outros
- PCs
- plataforma
- Plataformas
- piscina
- Piscinas
- Popular
- preço
- Lucro
- recuperação
- Relatórios
- pesquisa
- Retorna
- seguro
- Promoção
- Scammers
- VENDEDORES
- sentido
- Série
- Partilhar
- SIX
- smart
- smart contract
- So
- Software
- vendido
- Etapa
- roubado
- supply
- .
- sistemas
- The Vault
- token
- Tokens
- Trading
- Transações
- Uniswap
- USDT
- valor
- Cofre
- vulnerabilidades
- QUEM
- dentro
- Equivalente há
- Produção
