Ранее сегодня агрегатор урожайности DeFi, Pancake Bunny, подвергся атаке срочным кредитованием, в результате чего злоумышленник получил около 45 миллионов долларов за считанные секунды.
Кикер? Ничего не было нарушено. Злоумышленник воспользовался двумя преимуществами: флэш-кредитами (нововведение в DeFi) и уязвимостями программного обеспечения на платформе DeFi.
проверка данных
В 10:34 по Гринвичу в четверг, 20 мая, Pancake Bunny, агрегатор и оптимизатор доходности DeFi, построенный на Binance Smart Chain (BSC), подвергся атаке с использованием флэш-кредита, в которой использовался код протокола Bunny. Прежде чем мы углубимся в подробности взлома, мы должны ознакомиться с некоторой терминологией:
Атака на мгновенный кредит: Срочная ссуда - это ссуда, которая предоставляется и возвращается в течение периода времени, необходимого для создания нового блока в цепочке блоков. Это ссуда, которая не требует от заемщика предоставления какого-либо залога. Заемщик быстро получит прибыль от суммы и вернет первоначальную ссуду до того, как будет сформирован новый блок. При атаке с использованием мгновенного кредита мошенник берет ссуду, чтобы манипулировать рынком и / или использовать уязвимости программного обеспечения в коде.
Автоматизированные маркет-мейкеры (AMM): Хотя не все децентрализованные биржи являются платформами AMM, некоторые из самых популярных DEX являются такими. Платформы AMM позволяют автоматически торговать криптовалютами с использованием запрограммированного пула ликвидности, а не традиционной книги заказов, объединяющей покупателей и продавцов.
Пулы ликвидности: Ликвидность означает, насколько легко один актив может быть преобразован в другой без значительного влияния на цену. Платформы AMM собирают средства в пул ликвидности с помощью смарт-контракта, чтобы облегчить децентрализованную торговлю, кредитование и другие финансовые функции. Для децентрализованных бирж, таких как Uniswap или PancakeSwap, пулы ликвидности позволяют платформам работать бесперебойно.
Поставщики ликвидности и токены LP: Поставщики ликвидности заинтересованы предоставлять пулы ликвидности активами, чтобы токены можно было легко торговать на платформе. Например, часть комиссионных, полученных от торговли в рамках пула, может использоваться для «возврата» поставщиков ликвидности. Кроме того, когда поставщики ликвидности вносят активы в пул, платформа AMM автоматически генерирует токен LP, который затем также может использоваться в других функциях - либо на своей собственной платформе, либо в других приложениях DeFi, чтобы поставщики ликвидности могли получать даже большая отдача.
Общая стоимость заблокирована (TVL): Используемая как де-факто метрика для демонстрации роста децентрализованного финансирования, общая заблокированная стоимость - это сумма капитала, депонированного в DeFi - часто в форме залога по ссуде или ликвидности в торговом пуле.
Что мы знаем на данный момент?
Вопреки предыдущим сообщениям о похищении 1 миллиарда долларов из Pancake Bunny, Игорь Игамбердиев, аналитик The Block Crypto, обнаружил, что на самом деле было украдено около 45 миллионов долларов (114,000 XNUMX WBNB). Злоумышленник воспользовался использованием флэш-кредитов через PancakeSwap (PCS).
1/6
Сегодня токены BUNNY на сумму более 1 млрд долларов были отчеканены у Bunny Finance на BSC, в результате чего было украдено более 40 млн долларов:
- 114 тыс. WBNB (40 млн долларов)
- 697 тыс. BUNNYПо этой причине цена BUNNY упала со 146 долларов до 6 долларов. pic.twitter.com/BBVfWOHgZH
- Игорь Игамбердиев (@FrankResearcher) 20 мая 2021
В серии твитов Игорь разбил действия злоумышленника на шесть шагов, которые подтвердил Pancake Bunny. Посмертный:
6/6
На данный момент злоумышленник уже вывел 10.1 тыс. ETH (23.5 млн долларов) в Ethereum через мост Nerve, и еще 14 млн долларов находятся на их адресе BSC. pic.twitter.com/h9taC5bcPj
- Игорь Игамбердиев (@FrankResearcher) 20 мая 2021
- Депозит USDT на сумму 1BNB в хранилище Bunny USDT-WBNB для инсценировки эксплойта. В результате этого депозита было сгенерировано 9.275 XNUMX LP.
- Занял 2.3 миллиона BNB (704 миллиона долларов) у семи пулов PancakeSwap и 2.9 миллиона долларов США у ForTube Bank с использованием флэш-кредитов.
- Внесены дополнительные 7,700 BNB и 2.9 млн долларов США ликвидности в пул PancakeSwap USDT-WBNB вместе с токенами LP, созданными на шаге 1.
- Обменял 2.3 млн BNB на USDT через пул PancakeSwap USDT-WBNB, заполнив пул BNB и значительно уменьшив количество USDT в пуле.
- Имея LP в пуле PancakeSwap USDT-WBNB, Bunny Finance полагал, что злоумышленник добавил в систему большое количество BNB, в результате чего система произвела чеканку 7M BUNNY (1 миллиард долларов).
- Затем Exploiter продал 4.8 млн BUNNY за 2.3 млн WBNB и 2.9 млн долларов США, которые затем были использованы для погашения краткосрочных кредитов, взятых на этапе 2.
Как указано в «Блинчике кролика».Перейти к дальнейшему плану, »Все хранилища в безопасности, и ни одно хранилище не было взломано. Однако, когда новый BUNNY из шага 5 наводнил рынок, цена BUNNY упала. Часть TVL Pancake Bunny находится в BUNNY, поэтому - хотя сами хранилища не были взломаны - TVL все равно было потеряно.
Кто пострадал в результате этого нападения?
В первую очередь, обладатели BUNNY - это те, кто больше всего пострадал от этого инцидента двумя способами:
- С 7 миллионами токенов BUNNY, созданными из воздуха, существующие токены были разбавлены, что привело к снижению цены BUNNY.
- Из-за продажи токенов BUNNY на рынке ликвидность BUNNY - легкость, с которой BUNNY может быть продана на рынке - была полностью прекращена.
В своем «Плане продвижения вперед» Pancake Bunny обрисовал в общих чертах шаги, которые они предпринимают, чтобы стимулировать восстановление 1) TVL, 2) рыночной капитализации и 3) скорейшей компенсации всем убытков.
Что это означает для флэш-кредитов, флэш-кредитных атак и платформ DeFi?
Быстрые ссуды уникальны в том смысле, что заемщики могут вести себя как киты на рынках практически без залога, что дает практически любому человеку возможность манипулировать рынком и использовать уязвимости в кодах смарт-контрактов.
Как и в любой зарождающейся отрасли, ошибки совершаются в самом начале, и отрасль извлечет уроки из таких атак. Затем системы и инфраструктура будут усилены и укреплены для обеспечения безопасных транзакций для тех, кто использует платформы DeFi.
- 000
- 7
- 9
- дополнительный
- плюс
- Все
- аналитик
- Программы
- гайд
- активы
- Активы
- Банка
- миллиард
- binance
- блокчейн
- НББ
- МОСТ
- столица
- код
- контракт
- крипто-
- криптовалюты
- децентрализованная
- Децентрализованные финансы
- Defi
- вождение
- Английский
- ETH
- Эфириума
- Биржи
- Эксплуатировать
- сельское хозяйство
- Сборы
- финансы
- финансовый
- Flash
- форма
- вперед
- средства
- будущее
- Отдаете
- Рост
- мотыга
- Как
- HTTPS
- Влияние
- промышленность
- Инфраструктура
- Инновации
- ходе расследования,
- IT
- большой
- УЧИТЬСЯ
- кредитование
- Ликвидность
- провайдеры ликвидности
- Кредиты
- LP
- Пластинок
- Создание
- рынок
- Рынок
- Области применения:
- средний
- миллиона
- Мониторинг
- Самые популярные
- сеть
- заказ
- Другое
- ПК
- Платформа
- Платформы
- бассейн
- Пулы
- Популярное
- цена
- Прибыль
- выздоровление
- Отчеты
- исследованиям
- Возвращает
- безопасный
- sale
- Мошенники
- Продавцы
- смысл
- Серии
- Поделиться
- ШЕСТЬ
- умный
- умный контракт
- So
- Software
- проданный
- Этап
- украли
- поставка
- система
- системы
- Vault
- знак
- Лексемы
- Торговля
- Сделки
- Uniswap
- USDT
- ценностное
- Хранилище
- Уязвимости
- КТО
- в
- стоимость
- Уступать