Cómo los delincuentes explotaron las vulnerabilidades en el código de convenio inteligente de Pancake Bunny »CryptoNinjas

0


En su último artículo de Hack Track, Merkle Science, una plataforma de investigación y monitoreo de blockchain, publicó un resumen que describe en un lenguaje sencillo lo que sucedió, quiénes se vieron afectados y qué significa para el futuro de los préstamos flash y DeFi.

Hoy temprano, el agregador agrícola de rendimiento de DeFi, Pancake Bunny, sufrió un ataque de préstamo rápido y el delantero perdió alrededor de $ 45 millones en segundos.

¿El pateador? No se violó nada. El atacante se aprovechó de dos cosas: préstamos flash (una innovación en DeFi) y vulnerabilidades de software en una plataforma DeFi.

antecedentes

A las 10:34 UTC del jueves 20 de mayo, Pancake Bunny, un agregador y optimizador agrícola de rendimiento DeFi basado en Binance Smart Chain (BSC) sufrió un ataque de préstamo flash que explotó el código en el protocolo Bunny. Antes de entrar en los detalles del truco, debemos familiarizarnos con algunos términos:

Ataque de préstamo relámpago: Un préstamo relámpago es un préstamo que se realiza y se reembolsa dentro del período de tiempo necesario para crear un nuevo bloque en la cadena de bloques. Es un préstamo que no requiere que el prestatario pague ninguna garantía. El prestatario obtendrá rápidamente una ganancia sobre la cantidad y devolverá el préstamo inicial antes de que se forme un nuevo bloque. En un ataque de préstamo flash, el estafador tomará el préstamo para manipular el mercado y / o explotar las vulnerabilidades del software dentro del código.

Creadores de mercado automatizados (AMM): Si bien no todos los intercambios descentralizados son plataformas AMM, algunos de los DEX más populares lo son. Las plataformas AMM le permiten intercambiar criptomonedas automáticamente utilizando un grupo de liquidez programado en lugar de una cartera de pedidos tradicional, que reúne a compradores y vendedores.

Fondo de liquidez: La liquidez se refiere a la facilidad con la que un activo se puede convertir en otro sin tener un gran impacto en los precios. Las plataformas AMM recaudan fondos en un grupo de liquidez a través de un contrato inteligente para facilitar el comercio descentralizado, los préstamos y otras funciones financieras. Para intercambios descentralizados como Uniswap o PancakeSwap, los fondos de liquidez permiten que las plataformas funcionen sin problemas.

Proveedores de liquidez y tokens LP: Los proveedores de liquidez están incentivados para proporcionar activos a los grupos de liquidez para que los tokens puedan negociarse fácilmente en la plataforma. Por ejemplo, una parte de las tarifas generadas por la negociación dentro del grupo se puede utilizar para «devolver» a los proveedores de liquidez. Además, cuando los proveedores de liquidez aportan activos a un grupo, la plataforma AMM generará automáticamente un token LP, que luego también se puede usar en otras funciones, en su plataforma nativa u otras aplicaciones DeFi, para que los proveedores de liquidez también puedan recibir mayores retornos. .

Valor total bloqueado (TVL): Utilizado como una métrica de facto para mostrar el crecimiento financiero descentralizado, el valor bloqueado total es la cantidad de capital que se ha depositado en DeFi, a menudo en forma de garantías de préstamos o efectivo en un grupo de negociación.

¿Qué sabemos hasta ahora?

Contrariamente a los informes anteriores de $ 1 mil millones robados de Pancake Bunny, Igor Igamberdiev, analista de investigación de The Block Crypto, reveló que en realidad se robaron alrededor de $ 45 millones (WBNB 114,000). El atacante aprovechó el uso de préstamos flash a través de PancakeSwap (PCS).

En una serie de tweets, Igor dividió las acciones del atacante en seis pasos, que fueron confirmados por la autopsia de Pancake Bunny:

  1. Depositó el 1BNB de USDT en Bunny USDT-WBNB Vault para organizar el exploit. Como resultado de este depósito se generaron 9.275 LP.
  2. Pedí prestados BNB 2,3 millones ($ 704 millones) de siete grupos de PancakeSwap y USDT 2,9 millones de ForTube Bank mediante préstamos flash.
  3. Depositó 7700 BNB adicionales y 2,9 millones de USD en efectivo en el grupo PancakeSwap USDT-WBNB, junto con los tokens LP generados en el paso 1.
  4. Negoció 2,3 millones de BNB en USDT a través del grupo PancakeSwap USDT-WBNB, inundando el grupo de BNB y reduciendo significativamente la cantidad de USDT en el grupo.
  5. Con el LP en el grupo PancakeSwap USDT-WBNB, Bunny Finance creía que el explotador había agregado una gran cantidad de BNB al sistema, activando el sistema para generar 7M BUNNY ($ 1 mil millones).
  6. Luego, Exploiter vendió 4,8 millones de BUNNY por 2,3 millones de WBNB y 2,9 millones de USDT, que luego utilizó para pagar los préstamos flash tomados en préstamo en el paso 2.

Como se indica en el «Plan Avanzar» de Pancake Bunny, todas las bóvedas son seguras y no se ha pirateado ninguna. Sin embargo, cuando el BUNNY recién acuñado del paso 5 inundó el mercado, el precio del BUNNY se desplomó. Parte de TVL de Pancake Bunny está en BUNNY, por lo que aunque la bóveda no fue pirateada, la TVL todavía se perdió.

¿Quién resultó herido por este ataque?

Los poseedores primarios de BUNNY son los que más resultaron heridos por este incidente de dos maneras:

  • Con 7 millones de tokens BUNNY creados de la nada, los tokens existentes se han diluido, lo que ha provocado que el precio de BUNNY caiga.
  • Debido a la venta de tokens BUNNY en el mercado, la liquidez de BUNNY, la facilidad con la que BUNNY se puede vender en el mercado, se ha eliminado por completo.

En su «Plan Go Forward», Pancake Bunny describió los pasos que están tomando para guiar la recuperación de 1) TVL, 2) capitalización de mercado y 3) compensar a todos por sus pérdidas lo antes posible.

¿Qué significa esto para los préstamos flash, los ataques de préstamos flash y las plataformas DeFi?

Los préstamos flash son únicos en el sentido de que los prestatarios pueden actuar como una ballena en los mercados con poca o ninguna garantía, lo que le da a casi cualquier persona la capacidad de manipular el mercado y explotar las vulnerabilidades dentro de los códigos de contratos inteligentes.

Como ocurre con cualquier sector naciente, los errores se cometen al principio y el sector aprenderá de este tipo de ataques. Luego, los sistemas y la infraestructura se fortalecerán y fortalecerán para garantizar transacciones seguras para quienes usan plataformas DeFi.



También podría gustarte
Deja una respuesta

Su dirección de correo electrónico no será publicada.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More