PancakeBunny Finance doświadczył ataku wykorzystującego pożyczki flash. Napastnicy wyprowadzili z projektu 690 000 tokenów BUNNY, które następnie zmienili na ETH i BNB. W rezultacie token stracił aż 99% swojej wartości. Pancakebunny twierdzi jednak, że jego skarbce są bezpieczne.
Kolejny atak na Binance Smart Chain
Napastnicy zaatakowali natywny token projektu Bunny Finance – BUNNY. Atak miał miejsce w czwartek po południu i polegał na wykorzystaniu pożyczek flash. Atakujący przeprowadził pożyczkę flash, co pozwoliło mu na zakup dużej ilości Bunny. Następnie sprzedał wyłudzone tokeny na rynku za Ethereum (ETH) i Binance Coin (BNB). Firma twierdzi jednak, że jej skarbce są w 100% bezpieczne. Cena natywnego tokena spadła o 99%.
Bunny FamToday at 10:34 UTC, PancakeBunny was attacked with an economic exploit that crashed the price of BUNNY. None of the vaults have been compromised. Team Bunny is currently working on solutions and will provide a report as soon as possible.To give a general update:— pancakebunny.finance (@PancakeBunnyFin) May 20, 2021
Pożyczki flash są rodzajem innowacji, której pionierem jest Aave. Pozwalają one każdemu pożyczyć nieograniczoną ilość środków bez konieczności przedstawiania jakiegokolwiek zabezpieczenia. Jest jednak pewien warunek. Użytkownik musi spłacić pożyczoną sumę w tej samej transakcji. Pożyczki flash są często przedmiotem krytyki ze względu na rolę, jaką odegrały w wielu atakach. Tego typu ataki nabierały impetu głównie w zdecentralizowanych finansach (DeFi), jednak ostatnio nabierają również popularności w scentralizowanej sieci Binance Smart Chain.
Cena BUNNY spada o 99%
W tym przypadku atakujący użył PancakeSwap, aby pożyczyć dużą ilość BNB, które następnie wykorzystał do manipulowania ceną BUNNY. Napastnik otrzymał dużą ilość BUNNY, ponieważ po dodaniu BNB zmianie uległa równowaga w puli. Następnie sprzedał tokeny na rynku i zwrócił pożyczone BNB. Szacuje się, że wartość tego ataku wyniosła około 200 milionów dolarów. Dokładne ślady transakcji można przejrzeć za pośrednictwem eksploratora BscScan.
PancakeBunny $BUNNY just got flash loan exploited. Token went from $140 to $240 then to $0. Huge blow, over $200M in assets gone. Again a huge exploit on #BSC after the $XVS incident.#Binance #BinanceSmartChain #BUNNY #PancakeBunny #exploit https://t.co/cCCfp2njSb pic.twitter.com/lGoFP3PCwL— dev.eth (@dev_dot_eth) May 19, 2021
Cena BUNNY najpierw wzrosła, gdy napastnicy dodali BNB do puli, a następnie nagle spadła, gdy sprzedali tokeny na PancakeSwap. Anonimowy zespół stojący za Bunny obiecał plan rekompensaty i zamroził wypłaty do czasu ocenienia szkody.
Bunny Finance jest jednym z najpopularniejszych projektów opartych na Binance Smart Chain. Jednak wczorajszy atak jest kolejnym ciosem dla nadziei Binance na konkurowanie z Ethereum. Platforma spotkała się ostatnio ze sporą krytyką po tym, jak Meerkat Finance został wykorzystany przez własnych deweloperów. Z kolei z Uranium Finance skradziono środki o wartości ponad 50 milionów dolarów. Zaledwie wczoraj pojawiły się kolejne problemy, gdy użytkownicy Venus Finance doświadczyli likwidacji środków o wartości 200 milionów dolarów.
Jak dokładnie przebiegał atak BUNNY?
Igor Igamberdiev zbadał cały proces ataku i podzielił się swoimi spostrzeżeniami na Twitterze. Oto jak napastnik przechytrzył PancakeBunny:
1/6Today, BUNNY tokens worth $1B+ were minted from Bunny Finance on BSC, resulting in $40M+ was stolen:– 114k WBNB ($40M)– 697k BUNNYFor this reason, the BUNNY price fell from $146 to $6 pic.twitter.com/BBVfWOHgZH— Igor Igamberdiev (@FrankResearcher) May 20, 2021
- Dodał trochę aktywów do skarbca Bunny USDT-WBNB.
- Użył pożyczki flash, aby pożyczyć 2.3 mln BNB (704 mln USD) z siedmiu pul PancakeSwap i 2,9 mld USDT z ForTube Bank
- Dodał 7,7 tys. BNB i 2,9 mln USDT do puli USDT-WBNB na PancakeSwap, jednocześnie pozostawiając tokeny LP w tej puli.
- Wymienił 2,3 mln BNB na USDT za pośrednictwem tej puli
- Wymietował >1 miliard USD w BUNNY z pierwszego punktu.
- Sprzedał 4,8 miliona BUNNY za 2,3 miliona WBNB i 2,9 miliona USDT i spłacił pożyczki flash.
- Użył mostu Nerve, aby wypłacić 10,1k ETH (około 23,5 mln USD) do Ethereum i kolejne 14 mln USD z BSC.
Co planuje dalej zespół projektu?
PancakeBunny przekazał swoim użytkownikom na Twitterze następujący plan działania:
- Deweloperzy pracują nad umożliwieniem wypłat i są obecnie w trakcie testów.
- Użytkownicy nie będą musieli płacić 30% opłaty za wydajność podczas dokonywania wypłat, ponieważ PancakeBunny wyłączył funkcję miningu, aby umożliwić płynny proces wypłat.
- Jak na razie użytkownicy otrzymają swoje depozyty i zyski z puli, ale bez nagród w BUNNY.
1⃣ We have determined the nature of the exploit and how it occurred.2⃣ Additionally, we are working on a reimbursement plan.3⃣ Withdrawals and deposits will be frozen temporarily until we increase security.— pancakebunny.finance (@PancakeBunnyFin) May 20, 2021
Czy Binance Smart Chain jest bezpieczny?
Binance Smart Chain w ciągu ostatnich kilku miesięcy stał się tańszą alternatywą dla Ethereum dla działań związanych z DeFi. Niskie koszty korzystania przyciągnęły wielu farmerów, napędzając cenę BNB do nowych szczytów. Jest to obecnie trzecia największa kryptowaluta pod względem kapitalizacji rynkowej, która plasuje się zaraz za Bitcoinem i Ethereum.
Jednakże, przy tak wielu atakach i wyłudzeniach pojawiających się na klonie Ethereum, istnieją powody do obaw o zdrowie samego blockchaina.
Kilku użytkowników Binance Smart Chain zgłosiło, że po ataku na Venus Financ zamknięte zostały mosty między siecią a innymi łańcuchami. Inni sugerowali, że możliwe jest zamrożenie sieci za zaledwie 100 000 USD/godzinę.
try and find a full archival state of the network. you cannot. official binance bridges frozen, and they have blocked anyswap (the only third party bridge people use) from bridge API calls. sophisticated hacker group now exploiting projects.only $100k/hr to spam the network— jerry (@ThinkingLSD) May 20, 2021
W wątku na Twitterze omawiającym ostatnie problemy, jeden z użytkowników o nazwie CryptoUltron powiedział, że sieć “stale rozwidla się w sposób niekontrolowany”.
I run a BSC node. The network is constantly forking uncontrollably. For every block that is part of the main chain, there are around 5 uncles (forked blocks). Several validators are running sub-par hardware and cannot keep up with the rest of the network.— Crypto Ultron (@ProofOfBags) May 20, 2021
Binance Smart Chain używa większych bloków niż mainnet Ethereum, co oznacza, że koszty są dzielone między więcej transakcji. Nie przychodzi to jednak bez problemów. Większe bloki mogą prowadzić do komplikacji, co było dokładnie omawiane podczas wojen o wielkość bloków Bitcoina.