Страйк флеш-позик: використання ремінних фінансів склало 6.2 мільйона доларів

Хакеру вдалося вкрасти BUSD на суму 6.2 мільйона доларів, стейблкоїн Binance, прив’язаний до долара США, конвертований в ETH через 1-дюймовий DEX і частково виведений з Binance Smart Chain на Ethereum.

• Цей хак було порівняно доброзичливий: лише 6.2 мільйона доларів США було вкрадено з величезної загальної вартості (TVL) у розмірі 2.6 мільярда доларів США.
• Сховище beltBUSD використовує чотири стратегії. Помилка в стратегії Elipsis була використана для витоку коштів через стратегію Venus.
• Сховище надсилає нові депозити в стратегію з найбільшою кількістю підписок і виплачує кошти з стратегії з найбільшою кількістю підписок, щоб створити баланс між чотирма з них. Помилка стратегії Elipsis створює неправильний розрахунок значення, якщо пул 3EPS стає незбалансованим.
• Використовуючи флеш-кредити, хакер обмінявся близько 200 мільйонів доларів США з BUSD на USDT, розбалансовуючи пул 3EPS і активуючи помилку стратегії Elipsis. На цьому етапі пул 4Belt переоцінив би акції хакера, виплативши додаткові 0.5% прибутку після укладення термінової позики. Це призвело до отримання 1 мільйона доларів США прибутку від однієї транзакції термінового кредиту на 200 мільйонів доларів США.
• Хакер повторив транзакцію кілька разів, отримавши 6.2 мільйона доларів прибутку та завдавши загальних збитків у 13 мільйонів доларів, оскільки 6 мільйонів доларів було сплачено в пул 3EPS.
• Поряд з іншим Нещодавні випадки злому в екосистемі Binance Smart Chain, цей злом призвів до засудження «культури форків», коли цілі кодові бази копіюються без ретельного аудиту. Ця проблема призвела до кількох атак на флеш-кредит за останні кілька тижнів.