Tidigare idag drabbades DeFi avkastningsodlingsaggregat, Pancake Bunny, en snabblansattack med angriparen som gick av med cirka 45 miljoner dollar på några sekunder.
Kickern? Ingenting överträddes. Angriparen utnyttjade två saker: flash-lån (en innovation i DeFi) och programvarusårbarhet på en DeFi-plattform.
Bakgrund
Klockan 10:34 UTC torsdagen den 20 maj drabbades Pancake Bunny, en DeFi-jordbruksaggregat och optimerare byggd på Binance Smart Chain (BSC), en flashlansattack som utnyttjade koden på Bunny-protokollet. Innan vi går in i detaljerna om hacket, en del terminologi som vi bör bekanta oss med:
Flash-lånattack: Ett flash-lån är ett lån som görs och returneras inom den tidsram det tar att skapa ett nytt block på blockchain. Det är ett lån som inte kräver att låntagaren ställer några säkerheter. Låntagaren kommer snabbt att vända vinsten på beloppet och returnera det ursprungliga lånet innan ett nytt block bildas. I en snabb låneattack kommer bedragaren att ta lånet för att manipulera marknaden och / eller utnyttja programvarusårbarheter inom koden.
Automated Market Makers (AMM): Även om inte alla decentraliserade börser är AMM-plattformar, är några av de mest populära DEX-enheterna det. AMM-plattformar gör att kryptovalutor kan handlas automatiskt med en programmerad likviditetspool snarare än en traditionell orderbok, som samlar köpare och säljare.
Likviditetspooler: Likviditet avser hur lätt en tillgång kan konverteras till en annan utan att ha stor prispåverkan. AMM-plattformar samlar in medel i en likviditetspool via ett smart kontrakt för att underlätta decentraliserad handel, utlåning och andra finansiella funktioner. För decentraliserade börser som Uniswap eller PancakeSwap möjliggör likviditetspooler plattformarna att fungera smidigt.
Likviditetsleverantörer och LP-tokens: Likviditetsleverantörer uppmuntras att förse likviditetspooler med tillgångar så att polletter lätt kan handlas på plattformen. Till exempel kan en del av avgifterna som genereras genom handel inom poolen användas för att ”återbetala” likviditetsleverantörer. Dessutom, när likviditetsleverantörer bidrar med tillgångar till en pool, kommer AMM-plattformen automatiskt att generera en LP-token, som sedan också kan användas i andra funktioner - antingen på sin ursprungliga plattform eller på andra DeFi-appar - så att likviditetsleverantörer kan få jämn större avkastning.
Totalt värde låst (TVL): Används som de facto-måttet för att visa tillväxten av decentraliserad finansiering, är det totala värdet låst den mängd kapital som har deponerats i DeFi - ofta i form av lånesäkerheter eller likviditet i en handelspool.
Vad vet vi hittills?
I motsats till tidigare rapporter om att en miljard dollar har stulits från Pancake Bunny, Igor Igamberdiev, forskningsanalytiker på The Block Crypto, avslöjade att faktiskt cirka 45 miljoner dollar (114,000 XNUMX WBNB) stulits. Angriparen utnyttjade användningen av flash-lån via PancakeSwap (PCS).
1/6
Idag prickades BUNNY-tokens till ett värde av $ 1 miljarder dollar från Bunny Finance på BSC, vilket resulterade i $ 40 miljoner + stulna:
- 114 40 WBNB ($ XNUMX miljoner)
- 697 k BUNNYAv denna anledning föll BUNNY-priset från $ 146 till $ 6👇 pic.twitter.com/BBVfWOHgZH
- Igor Igamberdiev (@FrankResearcher) Maj 20, 2021
I en serie tweets delade Igor upp angriparens handlingar i sex steg, vilket bekräftades av Pancake Bunny's obduktion:
6/6
För tillfället har angriparen redan dragit tillbaka 10.1k ETH ($ 23.5 miljoner) till Ethereum genom nervbryggan, och ytterligare $ 14 miljoner finns på deras BSC-adress. pic.twitter.com/h9taC5bcPj
- Igor Igamberdiev (@FrankResearcher) Maj 20, 2021
- Deponerade USDT till ett värde av 1BNB till Bunny USDT-WBNB-valvet för att iscensätta utnyttjandet. 9.275 LP-skivor genererades som ett resultat av denna insättning.
- Lånade 2.3 miljoner BNB (704 miljoner dollar) från sju PancakeSwap-pooler och 2.9 miljoner USDT från ForTube Bank med flashlån.
- Deponerade ytterligare 7,700 2.9 BNB och 1 miljoner USDT i likviditet till PancakeSwap USDT-WBNB-poolen, tillsammans med LP-tokens som genererades från steg XNUMX.
- Handlade 2.3 miljoner BNB till USDT genom PancakeSwap USDT-WBNB-poolen, översvämmade poolen med BNB och minskade signifikant mängden USDT i poolen.
- Med LP-skivan i PancakeSwap USDT-WBNB-poolen trodde Bunny Finance att exploatören lade till en stor mängd BNB i systemet, vilket ledde till att systemet myntade 7 M BUNNY (1 miljard dollar).
- Exploiter sålde sedan 4.8 M BUNNY för 2.3 M WBNB och 2.9 M USDT, som den sedan använde för att återbetala de flashlån som lånades i steg 2.
Som anges i Pancake Bunny's “Gå framåt Plan, ”Alla valv är säkra och inga valv har brutits. Men när den nyligen präglade BUNNY från steg 5 översvämmade marknaden, kraschade priset på BUNNY. En del av Pancake Bunny's TVL är i BUNNY, så - medan valvet i sig inte bröts - försvann TVL fortfarande.
Vem skadades av denna attack?
Primära, innehavare av BUNNY är de som skadades mest av denna händelse på två sätt:
- Med 7 miljoner BUNNY-tokens skapade ur luften utspäddes befintliga tokens, vilket sänkte priset på BUNNY.
- På grund av försäljningen av BUNNY-tokens på marknaden, var BUNNYs likviditet - den lätthet som BUNNY kan säljas på marknaden - helt zappad.
I sin "Gå framåtplan" skisserade Pancake Bunny de steg de tar för att driva återhämtningen av 1) TVL, 2) marknadsvärde och 3) kompensera alla för sina förluster så snart som möjligt.
Vad betyder detta för flash-lån, flash-lånattacker och DeFi-plattformar?
Flash-lån är unika i den meningen att låntagare kan agera som en val på marknaderna med liten eller ingen säkerhet, vilket ger nästan vem som helst möjligheten att manipulera marknaden och utnyttja sårbarheter inom smarta kontraktskoder.
Som med alla nya branscher görs fel i början och industrin kommer att lära av dessa typer av attacker. System och infrastruktur kommer sedan att genomföras och stärkas för att säkerställa säkra transaktioner för dem som använder DeFi-plattformar.
- 000
- 7
- 9
- Annat
- Fördel
- Alla
- analytiker
- appar
- Artikeln
- tillgång
- Tillgångar
- Bank
- Miljarder
- binance
- blockchain
- bnB
- BRO
- kapital
- koda
- kontrakt
- crypto
- cryptocurrencies
- decentraliserad
- Decentraliserad ekonomi
- Defi
- drivande
- Engelska
- ETH
- ethereum
- Utbyten
- Exploit
- odling
- avgifter
- finansiering
- finansiella
- Blixt
- formen
- Framåt
- fonder
- framtida
- Ge
- Tillväxt
- hacka
- Hur ser din drömresa ut
- HTTPS
- Inverkan
- industrin
- Infrastruktur
- Innovation
- Undersökningen
- IT
- Large
- LÄRA SIG
- utlåning
- Likviditet
- likviditetsleverantörer
- Lån
- LP
- LP
- Framställning
- marknad
- Börsvärde
- Marknader
- Medium
- miljon
- övervakning
- Mest populär
- netto
- beställa
- Övriga
- PC
- plattform
- Plattformar
- poolen
- Pools
- Populära
- pris
- Vinst
- återvinning
- Rapport
- forskning
- återgår
- säker
- Till Salu
- Bedragare
- Säljare
- känsla
- Serier
- Dela
- SEX
- smarta
- smart kontrakt
- So
- Mjukvara
- säljs
- Etapp
- stulna
- leverera
- system
- System
- The Vault
- token
- tokens
- Handel
- Transaktioner
- Ta bort
- USDT
- värde
- Valv
- sårbarheter
- VEM
- inom
- värt
- Avkastning