今天早些时候,DeFi高产农业聚合商Pancake Bunny遭受了一次短暂的贷款攻击,攻击者在短短几秒钟内就损失了约45万美元。
踢手? 什么都没有违反。 攻击者利用了两件事:借贷(DeFi的一项创新)和DeFi平台上的软件漏洞。
背景
在10月34日(星期四)世界标准时间20:XNUMX,基于Binance Smart Chain(BSC)构建的DeFi产量农业聚合器和优化器Pancake Bunny遭受了一次快速借贷攻击,该攻击利用了Bunny协议中的代码。 在深入探讨hack的细节之前,我们应该熟悉一些术语:
闪贷攻击: 闪速贷款是在区块链上创建新区块所需的时间范围内产生并偿还的贷款。 这是一项不需要借款人放下任何抵押品的贷款。 借款人将迅速从该金额中获利,并在形成新的块之前退还初始贷款。 在快速贷款攻击中,诈骗者将贷款以操纵市场和/或利用代码中的软件漏洞。
自动做市商(AMM): 尽管并非所有分散式交易所都是AMM平台,但一些最受欢迎的DEX还是。 AMM平台允许使用编程的流动资金池而不是将买卖双方聚集在一起的传统订单簿来自动进行加密货币交易。
流动资金池: 流动性是指在不产生太大价格影响的情况下将一种资产转换为另一种资产的难易程度。 AMM平台通过智能合约将资金收集到流动资金池中,以促进分散交易,借贷和其他财务功能。 对于Uniswap或PancakeSwap等去中心化交易所,流动资金池使平台能够平稳运行。
流动性提供者和LP代币: 激励流动性提供者向流动性池提供资产,以便可以在平台上轻松交易代币。 例如,通过池内交易产生的部分费用可用于“偿还”流动性提供者。 此外,当流动性提供者向资产池中投入资产时,AMM平台将自动生成LP令牌,然后该LP令牌也可用于其他功能(在其本机平台或其他DeFi应用程序上),以便流动性提供者甚至可以收到更高的回报。
总价值锁定(TVL): 锁定总值用作显示去中心化金融增长的事实指标,通常是贷款抵押品或交易池中的流动性形式,已存入DeFi的资本额。
到目前为止我们知道什么?
与先前报道的Pancake Bunny被盗1亿美元相反, 伊戈尔·伊甘贝第耶夫(Igor Igamberdiev)The Block Crypto的研究分析师透露,实际上大约有45万美元(114,000 WBNB)被盗。 攻击者通过PancakeSwap(PCS)利用了快速借贷。
1/6
今天,在BSC上从Bunny Finance铸造了价值超过$ 1B +的BUNNY代币,导致$ 40M +被盗:
– 114k WBNB($ 40M)
– 697k兔子因此,BUNNY价格从146美元跌至6美元 pic.twitter.com/BBVfWOHgZH
— Igor Igamberdiev(@FrankResearcher) 2021 年 5 月 20 日
在一系列推文中,伊戈尔将攻击者的行动分为六个步骤,这已由Pancake Bunny的行为证实 死后的:
6/6
目前,攻击者已经通过神经桥向以太坊提取了10.1k ETH(23.5万美元),另外还有14万美元在其BSC地址上。 pic.twitter.com/h9taC5bcPj
— Igor Igamberdiev(@FrankResearcher) 2021 年 5 月 20 日
- 将价值1BNB的USDT存入兔子USDT-WBNB保管库以进行攻击。 由于该沉积,生成了9.275个LP。
- 使用紧急贷款从2.3个PancakeSwap池中借入了704万BNB(2.9亿美元),从ForTube Bank借入了XNUMX万USDT。
- 向PancakeSwap USDT-WBNB池中再存入7,700 BNB和2.9万USDT的流动性,以及从步骤1中生成的LP代币。
- 通过PancakeSwap USDT-WBNB池将2.3万BNB交易为USDT,使BNB泛滥池中的资金,并显着减少池中USDT的数量。
- 借助PancakeSwap USDT-WBNB池中的LP,Bunny Finance认为,该漏洞利用者向系统中添加了大量BNB,从而触发了该系统,使该系统筹集了7万BUNNY(1亿美元)。
- 然后,Exploiter分别以4.8万美元的WBNB和2.3万美元的USDT出售了2.9万英镑,然后用来偿还第2步中借入的快速贷款。
正如Pancake Bunny的“前进计划”,所有保管库都是安全的,并且没有违反任何保管库。 但是,当第5步中新铸造的BUNNY涌入市场时,BUNNY的价格暴跌。 Pancake Bunny的TVL的一部分位于BUNNY,因此-尽管金库本身未遭到破坏-TVL仍然丢失。
谁受到这次袭击的伤害?
在这次事件中受害最大的是BUNNY的主要受害者,其原因有二:
- 凭空创造了7万枚BUNNY代币,现有代币被稀释,使BUNNY的价格下跌。
- 由于BUNNY代币在市场上的销售,BUNNY的流动性(即BUNNY在市场上出售的难易程度)已被彻底封杀。
Pancake Bunny在其“前进计划”中概述了他们为推动1)TVL,2)市值和3)尽快补偿所有人的损失而采取的措施。
这对快速贷款,快速贷款攻击和DeFi平台意味着什么?
短期贷款的独特之处在于,借款人可以在市场上像鲸鱼一样,几乎没有抵押,因此几乎每个人都可以操纵市场并利用智能合约代码中的漏洞。
与任何新兴行业一样,一开始都会犯错误,并且行业将从这些类型的攻击中学习。 然后将加强系统和基础设施,以确保使用DeFi平台的交易安全。
- 000
- 7
- 9
- 额外
- 优点
- 所有类型
- 分析人士
- 应用
- 刊文
- 财富
- 办公室文员:
- 银行
- 亿
- binance
- blockchain
- BNB
- 桥
- 资本
- 码
- 合同
- 加密
- cryptocurrencies
- 分散
- 分散财务
- DEFI
- 驾驶
- 英语
- ETH
- 复仇
- 换货
- 利用
- 农业
- 费用
- 金融
- 金融
- Flash
- 申请
- 向前
- 资金
- 未来
- 给予
- 事业发展
- 破解
- 创新中心
- HTTPS
- 影响力故事
- 行业中的应用:
- 基础设施
- 創新
- 调查
- IT
- 大
- 学习用品
- 贷款
- 流动性
- 流动性提供者
- 贷款
- LP
- 有限合伙人
- 制作
- 市场
- 市值
- 市场
- 中等
- 百万
- 监控
- 最受欢迎的产品
- 净
- 秩序
- 其他名称
- 个人电脑
- 平台
- 平台
- 池
- 矿池
- 热门
- 车资
- 利润
- 恢复
- 业务报告
- 研究
- 回报
- 安全
- 盐
- 骗子
- 卖家
- 感
- 系列
- Share
- SIX
- 智能
- 聪明的合同
- So
- 软件
- 出售
- 阶段
- 被盗
- 供应
- 系统
- 产品
- 避难所
- 象征
- 令牌
- 交易
- 交易
- Uniswap
- USDT
- 折扣值
- 拱顶
- 漏洞
- WHO
- 中
- 价值
- 产量