Atacul de împrumut rapid asupra lanțului BNB aduce un profit record de 1.57 milioane USD

Cel mai semnificativ atac de împrumut rapid din lanțul BNB a fost raportat pe 11 octombrie, când un robot MEV a realizat un profit masiv de arbitraj de 1.575 milioane USD.

Atacul, care a trecut prin rețeaua Pancakeswap DEX, i-a costat pe botul autor doar o taxă de 4.16 USD, lăsându-i cu profituri uriașe.

Atacul mare cu un singur împrumut pe lanțul BNB

Potrivit rapoartelor, MEV Bot cu adresa 0x216Ccf pe lanțul BNB a apărut ca deținătorul recordului celui mai semnificativ profit de arbitraj din istoria lanțului.

EigenPhi, o firmă de top în analiza datelor blockchain, dezvăluit detaliile, confirmând că profitul enorm a rezultat dintr-un atac de manipulare a prețurilor bine planificat asupra jetonului BH.

În esență, atacatorul a exploatat un defect al sistemului pentru aproximativ 1.27 milioane de dolari, transferând imediat fondurile către popularul mixer Tornado Cash.

Acest atacator a împrumutat o sumă mare de USDT folosind ID-ul funcției 0x33688938 și a adăugat USDT la contract.

În condiții normale, ratele de lichiditate pentru contract sunt în jur de 1 USDT:100 BH. Atacatorul a manipulat apoi sistemul schimbând instantaneu USDT cu BH prin pereche și ulterior a eliminat lichiditatea cu ID-ul tranzacției 0x4e290832.

Acest swap a afectat drastic rata de eliminare a lichidității, schimbându-se la aproximativ 1 USDT:2 BH, permițându-le să retragă și mai mult USDT.

Seria de tranzacții a fost confirmată ulterior de Beosin, o companie renumită de securitate blockchain, subliniind natura sa deliberată. Atacatorul a profitat în total de 1.575 milioane de dolari în întregul proces.

$BH jetonul de pe BNB Chain a fost exploatat pentru ~1.27 milioane USD din cauza suspectării manipulării prețurilor. Profiturile au fost trimise în Tornado Cash.
Attacker: 0xFDbfcEEa1de360364084a6F37C9cdb7AaeA63464

Atacatorul a împrumutat o cantitate mare de $ USDT, apoi a apelat 0x33688938() pentru a adăuga $ USDT la ... pic.twitter.com/POppQswi7u

— Beosin Alert (@BeosinAlert) Octombrie 11, 2023

Adresa MEV Bot 0x216Ccf a fost posibilă creată pe 6 octombrie și a fost inactivă de atunci, până la data atacului de împrumut flash. Adresa contorului, 0xFDbfcE, a fost activă și deține în prezent aproximativ 1,000 de jetoane BNB evaluate la 205.8K USD.

Enigma atacului cu împrumut flash

Atacatorii de împrumut flash vor în principal exploata mecanismul de împrumut flash pentru a fura fondurile utilizatorilor, ca în cazul jetoanelor BH. În sensul său simplu, un împrumut rapid nu este un atac, ci un sistem care permite oamenilor să beneficieze de tranzacționarea prin arbitraj.

În cele 24 de ore premergătoare redactării acestui raport, datele EigenPhi sugerează că au existat aproximativ 278 de împrumuturi flash în cadrul rețelei Ethereum. Numărul a fost 2,435 și 9,721 în ultimele 7 și, respectiv, 30 de zile. Peste 2.2 miliarde USD în valoare de tranzacție au fost împrumuturi flash în ultimele 30 de zile, sugerând utilizarea extinsă a acestui mecanism.

Cu toate acestea, mulți escroci au folosit împrumuturi flash pentru a paraliza criptosistemele și fura de la investitori, ca în cazul menționat mai sus. În iunie anul acesta, un protocol DeFi numit Sturdy Finance a pierdut 442 ETH în valoare de 800 USD prin diferite hack-uri, inclusiv un atac de împrumut flash.