詐欺師がパンケーキバニーのスマートコントラクトコードの脆弱性を悪用した方法»CryptoNinjas

最新のハックトラックの記事では、 マークルサイエンス、ブロックチェーン監視および調査プラットフォームは、何が起こったのか、誰が影響を受けたのか、そしてフラッシュローンとDeFiの将来にとって何を意味するのかを平易な英語で説明する要約を公開しました。

今日の初め、DeFiの収穫農業アグリゲーターであるPancake Bunnyは、攻撃者がほんの数秒で約4,500万ドルを稼ぎ出し、フラッシュローン攻撃を受けました。

キッカー? 何も違反していません。 攻撃者は、フラッシュローン(DeFiの革新)とDeFiプラットフォームのソフトウェアの脆弱性という2つのことを利用しました。

バックグラウンド

5月20日木曜日の10:34UTCに、Binance Smart Chain(BSC)上に構築されたDeFi収量農業アグリゲーターおよびオプティマイザーであるPancake Bunnyが、Bunnyプロトコルのコードを悪用するフラッシュローン攻撃を受けました。 ハッキングの詳細に入る前に、次の用語について理解しておく必要があります。

フラッシュローン攻撃: フラッシュローンは、ブロックチェーン上に新しいブロックを作成するのにかかる時間枠内に行われ、返済されるローンです。 これは、借り手が担保を差し入れる必要のないローンです。 借り手はすぐに金額の利益を反転し、新しいブロックが形成される前に最初のローンを返します。 フラッシュローン攻撃では、詐欺師は市場を操作したり、コード内のソフトウェアの脆弱性を悪用したりするためにローンを利用します。

自動マーケットメーカー(AMM): すべての分散型取引所がAMMプラットフォームであるわけではありませんが、最も人気のあるDEXのいくつかはAMMプラットフォームです。 AMMプラットフォームでは、買い手と売り手をまとめる従来の注文書ではなく、プログラムされた流動性プールを使用して暗号通貨を自動的に取引できます。

流動性プール: 流動性とは、価格に大きな影響を与えることなく、ある資産を別の資産に簡単に変換できることを指します。 AMMプラットフォームは、分散型の取引、貸付、およびその他の金融機能を促進するために、スマートコントラクトを介して資金を流動性プールに収集します。 UniswapやPancakeSwapなどの分散型取引所の場合、流動性プールによりプラットフォームをスムーズに運用できます。

流動性プロバイダーとLPトークン: 流動性プロバイダーは、トークンがプラットフォーム上で簡単に取引できるように、流動性プールに資産を提供するように奨励されています。 たとえば、プール内での取引を通じて生成された料金の一部は、流動性プロバイダーの「返済」に使用される場合があります。 さらに、流動性プロバイダーが資産をプールに提供すると、AMMプラットフォームは自動的にLPトークンを生成します。これは、ネイティブプラットフォームまたは他のDeFiアプリのいずれかで、他の機能でも使用できるため、流動性プロバイダーはより大きなリターン。

ロックされた合計値(TVL): 分散型ファイナンスの成長を示す事実上の指標として使用される、ロックされた合計値は、DeFiに預け入れられた資本の量であり、多くの場合、ローン担保または取引プールの流動性の形で行われます。

これまでに何を知っていますか?

Pancake Bunnyから10億ドルが盗まれたという以前の報告とは異なり、 イゴール・イガンベルディエフ、The Block Cryptoのリサーチアナリストは、実際には約4,500万ドル(114,000 WBNB)が盗まれたことを明らかにしました。 攻撃者は、PancakeSwap(PCS)を介してフラッシュローンの使用を悪用しました。

一連のツイートで、Igorは攻撃者のアクションを6つのステップに分解しました。これは、PancakeBunnyの 事後分析

  1. エクスプロイトをステージングするために、1BNB相当のUSDTをBunny USDT-WBNBVaultにデポジットしました。 このデポジットの結果、9.275LPが生成されました。
  2. フラッシュローンを使用して、7つのPancakeSwapプールから230万BNB(7億400万ドル)を借り、ForTubeBankから290万USDTを借りました。
  3. ステップ1で生成されたLPトークンとともに、追加の7,700BNBおよび290万USDTの流動性をPancakeSwapUSDT-WBNBプールに預け入れました。
  4. PancakeSwap USDT-WBNBプールを介して230万のBNBをUSDTに交換し、プールをBNBで溢れさせ、プール内のUSDTの量を大幅に減らしました。
  5. PancakeSwap USDT-WBNBプールのLPにより、Bunny Financeは、悪用者がシステムに大量のBNBを追加し、システムが700万バニー(10億ドル)をミントするきっかけになったと考えました。
  6. その後、Exploiterは480万バニーを230万WBNBと290万USDTで販売し、ステップ2で借りたフラッシュローンの返済に使用しました。

パンケーキバニーの「今後の計画、」すべてのボールトは安全であり、ボールトが侵害されたことはありません。 しかし、ステップ5で新たに鋳造されたBUNNYが市場に殺到すると、BUNNYの価格は暴落しました。 Pancake BunnyのTVLの一部はBUNNYにあるため、ボールト自体は侵害されていませんが、TVLはまだ失われています。

この攻撃で誰が怪我をしたのですか?

主に、BUNNYの所有者は、この事件で2つの方法で最も傷ついた人です。

  • 薄い空気から700万のBUNNYトークンが作成されたため、既存のトークンは希薄化され、BUNNYの価格が下がった。
  • 市場でのBUNNYトークンの販売により、BUNNYの流動性(市場でのBUNNYの販売のしやすさ)は完全に失われました。

Pancake Bunnyは、「Go Forward Plan」で、1)TVL、2)時価総額、3)すべての人の損失をできるだけ早く補償するために取っている手順の概要を説明しました。

これは、フラッシュローン、フラッシュローン攻撃、およびDeFiプラットフォームにとってどのような意味がありますか?

フラッシュローンは、借り手が担保なしで市場でクジラのように振る舞うことができるという点で独特であり、したがって、ほとんどすべての人が市場を操作し、スマートコントラクトコード内の脆弱性を悪用することができます。

他の初期の業界と同様に、最初はエラーが発生し、業界はこれらのタイプの攻撃から学習します。 その後、システムとインフラストラクチャが強化および強化され、DeFiプラットフォームを使用するユーザーの安全なトランザクションが保証されます。

Share:

Share on facebook
Facebook
Share on twitter
Twitter
Share on pinterest
Pinterest
Share on linkedin
LinkedIn

Related Posts

2021年に暗号波に乗った有名人

過去数年間の栄光を覆い隠していた暗号エコシステムは、2021年を通して1年間のスポットライトを維持することができました。 主流の採用 ビットコインのBTC)、ミームコイン狂乱 駆動 柴犬(SHIB)とドージコイン(ドージ