Astăzi, mai devreme, agregatorul de producție agricolă DeFi, Pancake Bunny, a suferit un atac de împrumut fulger, atacatorul plătind cu aproximativ 45 de milioane de dolari în câteva secunde.
Lovitorul? Nu s-a încălcat nimic. Atacatorul a profitat de două lucruri: împrumuturi flash (o inovație în DeFi) și vulnerabilități software pe o platformă DeFi.
Context
La ora 10:34 UTC, joi, 20 mai, Pancake Bunny, un agregator și optimizator agricol de randament DeFi construit pe Binance Smart Chain (BSC) a suferit un atac de împrumut flash care a exploatat codul din protocolul Bunny. Înainte de a intra în detaliile hack-ului, cu o anumită terminologie ar trebui să ne familiarizăm cu:
Atac de împrumut flash: Un împrumut flash este un împrumut care este făcut și returnat în intervalul de timp necesar pentru a crea un bloc nou pe blockchain. Este un împrumut care nu necesită împrumutatul să depună garanții. Împrumutatul va întoarce rapid un profit asupra sumei și va returna împrumutul inițial înainte de formarea unui nou bloc. Într-un atac de împrumut flash, escrocul va lua împrumutul pentru a manipula piața și / sau pentru a exploata vulnerabilitățile software din cadrul codului.
Producători automatizați de piață (AMM): Deși nu toate schimburile descentralizate sunt platforme AMM, unele dintre cele mai populare DEX-uri sunt. Platformele AMM permit tranzacționarea criptomonedelor în mod automat utilizând un fond de lichidități programat, mai degrabă decât un registru de comenzi tradițional, care reunește cumpărători și vânzători.
Bazine de lichiditate: Lichiditatea se referă la cât de ușor poate fi convertit un activ în altul fără a avea un impact semnificativ asupra prețului. Platformele AMM colectează fonduri într-un fond de lichidități printr-un contract inteligent pentru a facilita tranzacționarea descentralizată, împrumuturile și alte funcții financiare. Pentru schimburile descentralizate precum Uniswap sau PancakeSwap, fondurile de lichidități permit platformelor să funcționeze fără probleme.
Furnizori de lichiditate și jetoane LP: Furnizorii de lichiditate sunt motivați să furnizeze fonduri de lichidități cu active, astfel încât jetoanele să poată fi tranzacționate cu ușurință pe platformă. De exemplu, o parte din comisioanele generate de tranzacționarea în cadrul pool-ului poate fi utilizată pentru „rambursarea” furnizorilor de lichidități. În plus, atunci când furnizorii de lichidități contribuie cu active la un pool, platforma AMM va genera automat un token LP, care poate fi folosit și în alte funcții - fie pe platforma sa nativă, fie pe alte aplicații DeFi - astfel încât furnizorii de lichidități să poată primi chiar și randamente mai mari.
Valoarea totală blocată (TVL): Utilizată ca metrică de facto pentru a arăta creșterea finanțelor descentralizate, valoarea totală blocată este suma de capital care a fost depusă în DeFi - adesea sub formă de garanții de împrumut sau lichidități într-un fond de tranzacționare.
Ce știm până acum?
Spre deosebire de rapoartele anterioare despre un miliard de dolari furate de la Pancake Bunny, Igor Igamberdiev, analistul de cercetare de la The Block Crypto, a dezvăluit că de fapt au fost sustrase aproximativ 45 de milioane de dolari (114,000 WBNB). Atacatorul a exploatat folosirea împrumuturilor flash prin intermediul PancakeSwap (PCS).
1/6
Astăzi, jetoanele BUNNY în valoare de 1 miliard USD au fost inventate de la Bunny Finance pe BSC, rezultând 40 milioane de dolari + au fost furate:
- 114 WBNB (40 milioane USD)
- 697k BUNNYDin acest motiv, prețul BUNNY a scăzut de la 146 USD la 6 USD👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) 20 Mai, 2021
Într-o serie de tweet-uri, Igor a împărțit acțiunile atacatorului în șase pași, care au fost confirmați de Pancake Bunny's. post-mortem:
6/6
În acest moment, atacatorul a retras deja 10.1k ETH (23.5 milioane de dolari) către Ethereum prin podul Nerve, iar alți 14 milioane de dolari se află pe adresa lor BSC. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) 20 Mai, 2021
- A depus 1 USD în valoare de 9.275 USD în Vault Bunny USDT-WBNB pentru a pune în scenă exploatarea. XNUMX LP au fost generate ca urmare a acestui depozit.
- Am împrumutat 2.3 milioane BNB (704 milioane de dolari) din șapte fonduri PancakeSwap și 2.9 milioane USDT de la ForTube Bank folosind împrumuturi flash.
- Am depus 7,700 BNB suplimentar și 2.9M USDT de lichiditate la fondul PancakeSwap USDT-WBNB, împreună cu jetoanele LP generate de la pasul 1.
- Tranzacționat de 2.3 milioane BNB în USDT prin intermediul fondului PancakeSwap USDT-WBNB, inundând piscina cu BNB și scăzând semnificativ cantitatea de USDT din piscină.
- Cu LP în grupul PancakeSwap USDT-WBNB, Bunny Finance a crezut că exploatatorul a adăugat o cantitate mare de BNB în sistem, declanșând sistemul să crească 7M BUNNY (1 miliard de dolari).
- Exploiterul a vândut apoi 4.8 milioane BUNNY pentru 2.3 milioane WBNB și 2.9 milioane USDT, pe care i-a folosit apoi pentru a rambursa împrumuturile flash împrumutate la pasul 2.
După cum se indică în Pancake Bunny's „Mergeți în plan înainte,” toate seifurile sunt în siguranță și niciunul nu a fost încălcat. Cu toate acestea, când iepurașul nou bătut de la pasul 5 a inundat piața, prețul Iepurașului s-a prăbușit. O porțiune din TVL-ul lui Pancake Bunny este în BUNNY, astfel – în timp ce seiful în sine nu a fost încălcat – TVL a fost încă pierdut.
Cine a fost rănit în urma acestui atac?
Primarii, deținătorii de BUNNY sunt cei care au fost cel mai răniți din acest incident în două moduri:
- Cu 7 milioane de jetoane BUNNY create din aer, jetoanele existente au fost diluate, reducând prețul BUNNY.
- Datorită vânzării de jetoane BUNNY pe piață, lichiditatea BUNNY - ușurința cu care BUNNY poate fi vândut pe piață - a fost complet eliminată.
În „Planul său înainte”, Pancake Bunny a subliniat pașii pe care îi iau pentru a stimula recuperarea 1) TVL, 2) plafon de piață și 3) compensarea tuturor pentru pierderile lor cât mai curând posibil.
Ce înseamnă acest lucru pentru împrumuturi flash, atacuri de împrumut flash și platforme DeFi?
Împrumuturile flash sunt unice în sensul că împrumutătorii sunt capabili să acționeze ca o balenă pe piețe, cu garanții mici sau deloc, oferind astfel aproape oricui capacitatea de a manipula piața și de a exploata vulnerabilitățile în cadrul codurilor de contract inteligente.
La fel ca în orice industrie în curs de dezvoltare, se fac erori la început, iar industria va învăța din aceste tipuri de atacuri. Sistemele și infrastructura vor fi apoi puse în aplicare și consolidate pentru a asigura tranzacții sigure pentru cei care utilizează platforme DeFi.
- 000
- 7
- 9
- Suplimentar
- Avantaj
- TOATE
- analist
- Apps
- articol
- activ
- Bunuri
- Bancă
- Miliard
- binance
- blockchain
- BNB
- POD
- capital
- cod
- contract
- cripto
- cryptocurrencies
- descentralizată
- Finanțe descentralizate
- DEFI
- conducere
- Engleză
- ETH
- ethereum
- Platforme de tranzacţionare
- Exploata
- agricultură
- Taxe
- finanţa
- financiar
- bliț
- formă
- Înainte
- Fondurile
- viitor
- Oferirea
- Creștere
- hack
- Cum
- HTTPS
- Impactul
- industrie
- Infrastructură
- Inovaţie
- investigaţie
- IT
- mare
- AFLAȚI
- împrumut
- Lichiditate
- furnizori de lichiditate
- Credite
- LP
- LP-uri
- Efectuarea
- Piață
- Capul pieței
- pieţe
- mediu
- milion
- Monitorizarea
- Cel mai popular
- net
- comandă
- Altele
- PC-uri
- platformă
- Platforme
- piscină
- piscine
- Popular
- preţ
- Profit
- recuperare
- Rapoarte
- cercetare
- Returnează
- sigur
- sare
- Escrocii
- Vanzatorii
- sens
- serie
- Distribuie
- SIX
- inteligent
- contract inteligent
- So
- Software
- vândut
- Etapă
- furate
- livra
- sistem
- sisteme
- Vault
- semn
- indicativele
- Trading
- Tranzacții
- stare de nervozitate
- uniswap
- USDT
- valoare
- Boltă
- Vulnerabilitățile
- OMS
- în
- valoare
- Randament
