X
收藏本页
返回顶部

币海首页> 要闻资讯 > 文章

4500万遭闪贷攻击窃取,DeFi平台交易安全须重视

来源 :cryptoninjas    鲁克说币 · 编译   2021-06-13 20:02 星期日
币海网微博
微信扫一扫

今天早些时候,DeFi产量集成商Pancake Bunny,遭遇了一次闪贷攻击,袭击者在几秒钟内窃取了大约4500万美元。

是不是有漏洞?不,没有任何漏洞。攻击者利用了两样东西:闪电贷款(DeFi的一种创新)和DeFi平台上的软件漏洞。

背景:

5月20日星期四 世界标准时间 10:34,基于币安智能链(BSC)构建的DeFi收益聚合器遭遇了一次闪贷攻击,该攻击利用了Bunny协议上的代码。在我们深入探讨黑客袭击的细节之前,我们应该熟悉一些术语:

闪贷攻击:闪贷是指在区块链上创建新块所需的时间范围内发出贷款并偿还贷款。这是一种不需要借款人提供任何抵押品的贷款。借款人将迅速从该金额中获利,并在形成新的块之前退还初始贷款。 在快速贷款攻击中,诈骗者贷款是为了操纵市场和/或利用代码中的软件漏洞。

自动做市商AMMs: 尽管并非所有去中心化交易所都是AMM平台,但一些最受欢迎的DEX还是。 AMM平台允许使用编程的流动资金矿池而不是将买卖双方聚集在一起的传统订单簿来自动进行加密货币交易。

流动资金矿池:流动性指的是一种资产转换成另一种资产的容易程度,而不会对价格产生太大影响。AMM平台通过智能合约将资金汇集到一个流动性池,以促进去中心化交易、借贷和其他金融功能。对于Uniswap或PancakeSwap这样去中心化的交易所,流动资金矿池使平台能够平稳运行。

流动性提供者和LP代币:鼓励流动性提供者向流动性矿池提供资产,以便可以轻松地在平台上交易代币。 例如,通过矿池内交易产生的部分费用可用于“偿还”流动性提供者。 此外,当流动性提供者向资产矿池中投入资产时,AMM平台将自动生成LP代币,然后该LP代币也可用于其他功能(在其本机平台或其他DeFi应用程序上),以便流动性提供者甚至可以收到更高的回报。

锁定总值(TVL):锁定总值是已存入DeFi的资本数量,这指标显示去中心化金融增长的真实指标, -通常以贷款质押品或交易矿池中的流动性的形式出现。

到目前为止我们知道什么?

此前有报道称,Pancake Bunny被窃取了10亿美元,而区块加密公司(The Block Crypto)的研究分析师Igor Igamberdiev透露,实际上约有4500万美元 (11.4万WBNB) 被窃取。攻击者通过PancakeSwap (PCS)利用闪贷。

注:

今天,在BSC上从Bunny Finance印了超过10亿美元 +价值的BUNNY代币,导致4多千万 美元+被盗:– 114k WBNB($40M) – 697k Bunny兔子币。因此,BUNNY价格从146美元跌至6美元— Igor Igamberdiev(@FrankResearcher)2021年5月20日

在一系列推文中,伊戈尔(Igor)将攻击者的行动分为六个步骤,这已由Pancake Bunny的事后证实:

注:

目前,攻击者已经通过Nerve bridge向以太坊提走了10.1k ETH(2350万美元),另外提走了在他们的BSC地址上的1400万美元。— Igor Igamberdiev(@FrankResearcher)2021年5月20日

  1. 为了发起攻击,先将价值1个BNB的USDT存入Bunny的 USDT-WBNB Vault,产生了9.275个LP代币 

  2. 然后他用闪贷从7个Pancake Swap矿池中借了230万BNB(7.04亿美元),并从ForTube Bank借了290万USDT。

  3. 向PancakeSwap USDT-WBNB矿池中再存入7,700 BNB和290万USDT的流动性,获得了14.4万LP代币。

  4. 通过PancakeSwap USDT-WBNB V1矿池将230万BNB兑换为USDT提走,池子BNB的注入,而池中USDT数量显著减少。

  5. 因为在Pancake Swap USDT-WBNB矿池中还有额外LP代币,Bunny Finance认为,该「开采者」(攻击者)已向系统中添加了大量BNB,从而开始印制奖励的700万Bunny代币的资金(10亿美元)。

  6. 然后,攻击者出售了480万Bunny代币获得230万美元的WBNB和290万美元的USDT,然后用来偿还第2步中借入的闪电贷款。

正如Pancake Bunny的「前进计划」中指出的那样,所有金库都是安全的,没有任何金库被破坏。 但是,当第5步中新造的BUNNY币涌入市场,BUNNY代币的价格暴跌。 Pancake Bunny的总锁定价值(TVL)还有一部分,因此,尽管金库本身未受到破坏- TVL仍然是减少的。

谁受到这次袭击的伤害?

在这次事件中受害最大的是BUNNY的主要持有者。

凭空创造了700万枚BUNNY代币,现有代币被稀释,使BUNNY的价格下跌。

由于BUNNY代币在市场上的销售,BUNNY的流动性(即BUNNY在市场上出售的难易程度)已被彻底破坏。

Pancake Bunny在其“前进计划”中概述了他们为推动1)TVL,2)市值和3)尽快补偿所有人的损失而采取的措施。

这对闪贷,闪贷攻击和DeFi平台意味着什么?

闪电贷款的独特之处在于,借款人能够在几乎没有抵押品的情况下,在市场上表现得像一头鲸鱼,从而让几乎所有人都有能力操纵市场,利用智能合约代码中的漏洞。

与任何新兴行业一样,错误在一开始都会出现,行业会从这些类型的攻击中吸取教训。系统和基础设施将得到执行和加强,以确保DeFi平台的交易安全。

版权信息
声明:
此文为国外媒体翻译内容,翻译准确性仅供参考,不代表币海启行网的观点和立场。

相关文章

用户评论 (0)

0/140
币海启行更多新闻

内容合作 / 友情链接

服务与应用

币海公众号
扫一扫,关注币海
币海网

区块链行业资讯链媒[币海资讯官网]

  Copright @前海宏创投资(深圳)有限公司 版权所有