Хакер використовує Binance Yield Farms і витрачає токени до $0,00

Постраждали Garuda, Cerberus, KetchupSwap та інші

Анонімний хакер має використовуваний експлойти для вилучення вартості з кількох yield ферм на Binance Smart Chain. Їм вдалося втекти з мільйонами доларів. 

У середу, 16 червня, токени KetchupSwap, Lokum, YBear, Piggy, CaramelSwap, GoCerberus і Garuda різко впали до 0 доларів. Хакеру вдалося використати ці протоколи DeFi, усі створені за допомогою одних і тих же систем. 

Точна вартість, вкрадена шляхом злому, досі невідома. Однак потенційно хакеру вдалося отримати суму грошей, порівнянну з ринковою капіталізацією кожного з цих проектів. Ринкова капіталізація токена GARUDA становить близько 2 мільйонів доларів, тоді як токен CERBERUS був ближче до 4 мільйонів доларів. Додайте інші ферми, і ми, мабуть, отримаємо експлойт на 10 мільйонів доларів.   

Експлойти були спрямовані лише на нативні токени цих проектів Binance, дозволяючи хакеру значно підвищити свої винагороди, а потім викинути їх надлишки на ринок. Важливо зазначити, що експлойт не впливає на нерідні токени, наприклад CAKE або BNB. 

Що сталося? 

Більшість ферм у Binance Smart Chain використовують контракт MasterChef для розподілу винагород. Цей контракт був розроблений для розподілу винагород за токени пулу ліквідності, але всі ці ферми також використовували контракт MasterChef для інших типів винагород. Однією з останніх тенденцій у DeFi є додавання комісії за транзакцію до будь-якої транзакції на платформі. 

Зрештою це дало можливість хакерам використати контракт. Оскільки контракт MasterChef ніколи не створювався для порівняння балансів користувачів і балансів пулу, користувачі могли згенерувати стільки жетонів за один урожай, що могли миттєво спустошити пул. По суті, хакер може створити тисячі токенів, навіть якщо в пулі буде лише один токен. Це сталося з GarudaSwap, Cerberus, KetchupSwap та всіма іншими.

Вже відповідь

Цербер і Гаруда ініціювали ініціативу Thoreum Finance, яка представляє вдосконалені розумні контракти. Користувачі, які мають один із цих токенів, отримають компенсацію. Команда планує запустити нову платформу, і вони використовуватимуть моментальний знімок до експлойту, щоб визначити, скільки токенів було у кожного. Однак цього тижня Thoreum Finance не підготує свою програму надзвичайних ситуацій. 

«Ми знаємо, що це має статися найближчим часом, тому ми розмовляємо з професійною командою, щоб зробити цю послугу для нас. Але це займе час, тому що це складно, тому, будь ласка, будьте терплячі з нами!», – написав керівник проекту ZeusThunder у заяву.