Ataque instantâneo de empréstimo à rede BNB rende US$ 1.57 milhão em lucro recorde

O ataque de empréstimo instantâneo mais significativo na cadeia BNB foi relatado em 11 de outubro, quando um bot MEV obteve um enorme lucro de arbitragem de US$ 1.575 milhão.

O ataque, que passou pela rede Pancakeswap DEX, custou ao bot perpetrador apenas uma taxa de US$ 4.16, deixando-o com lucros enormes.

Grande ataque de empréstimo flash único na cadeia BNB

De acordo com os relatórios, o MEV Bot com endereço 0x216Ccf na cadeia BNB emergiu como o detentor do recorde do lucro de arbitragem único mais significativo na história da cadeia.

EigenPhi, uma empresa líder em análise de dados blockchain, revelou os detalhes, confirmando que o enorme lucro resultou de um ataque bem planejado de manipulação de preços ao token BH.

Essencialmente, o invasor explorou uma falha no sistema por cerca de US$ 1.27 milhão, transferindo imediatamente os fundos para o popular mixer Tornado Cash.

Este invasor pegou emprestado uma grande quantidade de USDT usando o ID de função 0x33688938 e adicionou USDT ao contrato.

Em condições normais, os índices de liquidez do contrato giram em torno de 1 USDT:100 BH. O invasor então manipulou o sistema trocando instantaneamente USDT por BH via par e posteriormente removeu a liquidez com o ID de transação 0x4e290832.

Este swap afetou drasticamente a proporção de remoção de liquidez, passando para aproximadamente 1 USDT:2 BH, permitindo-lhes sacar ainda mais USDT.

A série de transações foi posteriormente confirmada pela Beosin, uma renomada empresa de segurança blockchain, enfatizando sua natureza deliberada. O invasor lucrou um total de US$ 1.575 milhão em todo o processo.

$BH O token na cadeia BNB foi explorado por aproximadamente US$ 1.27 milhão devido à suspeita de manipulação de preços. Os lucros foram enviados para o Tornado Cash.
Attacker: 0xFDbfcEEa1de360364084a6F37C9cdb7AaeA63464

O invasor emprestou uma grande quantidade de $ USDT, então chamado 0x33688938() para adicionar $ USDT ao… pic.twitter.com/POppQswi7u

— Alerta Beosin (@BeosinAlert) 11 de outubro de 2023

O endereço do bot MEV 0x216Ccf foi possivelmente criado em 6 de outubro e está inativo desde então, até a data do ataque de empréstimo instantâneo. O endereço do contador, 0xFDbfcE, está ativo e atualmente contém cerca de 1,000 tokens BNB avaliados em US$ 205.8 mil.

O enigma do ataque instantâneo ao empréstimo

Os invasores de empréstimos instantâneos irão principalmente explorar o mecanismo de empréstimo instantâneo para roubar fundos dos usuários, como no caso dos tokens BH. No seu sentido simples, um empréstimo rápido não é um ataque, mas um sistema que permite às pessoas beneficiarem da negociação de arbitragem.

Nas 24 horas anteriores à redação deste relatório, os dados da EigenPhi sugerem que houve cerca de 278 empréstimos instantâneos na rede Ethereum. O número foi 2,435 e 9,721 nos últimos 7 e 30 dias, respectivamente. Mais de 2.2 mil milhões de dólares em valor de transacção foram empréstimos instantâneos nos últimos 30 dias, sugerindo a utilização alargada deste mecanismo.

No entanto, muitos golpistas têm aproveitado empréstimos instantâneos para paralisar sistemas criptográficos e roubar dos investidores, como no caso mencionado acima. Em junho deste ano, um protocolo DeFi apelidado de Sturdy Finance perdeu 442 ETH no valor de US$ 800 mil por meio de diferentes hacks, incluindo um ataque rápido de empréstimo.