BSC DeFi app `Pancakebunny` публикует вскрытие эксплойта стоимостью 2,4 миллиона долларов

В ходе атаки на Polygon (MATIC) и QuickSwap (QUICK) версии протокола Binance Smart Chain (BSC) для выращивания урожая PancakeBunny на прошлой неделе было добыто 2,1 миллиона токенов PolyBunny (polyBUNNY), что привело к падению цены на 82% с $10 до эксплойта до чуть более $2 после первоначального ущерба.

После недавнего эксплойта децентрализованных финансов (DeFi) команда PancakeBunny (BUNNY) опубликовала посмертный отчет и план компенсации, пересмотрев свои протоколы для обеспечения большей безопасности. 

Атака на флэш-кредит

PolyBunny, протокол для выращивания урожая, работающий в сети Polygon и децентрализованной бирже QuickSwap (DEX) на базе Ethereum (ETH), 16 июля был взломан на сумму 2,4 миллиона долларов.

Хронологически, злоумышленник сделал небольшой депозит (примерно $19 203) в одном из Bunny Vaults, и в то же время сделал огромный депозит (примерно $47 990 975) непосредственно в SushiSwap, и, вызвав функцию "withdrawAll", выполнил атаку с суммой, внесенной в SushiSwap в качестве процентов.

Успешно манипулируя оракулом для увеличения процента, завышенная плата за работу привела к чеканке примерно 2,1 миллиона токенов PolyBunny для злоумышленника, который в этот момент погасил флэш-кредит Aave и вышел из атаки с примерно 1 281 Ethereum, согласно официальному посмертному отчету.

1⃣ Злоумышленник заимствовал чрезвычайно большое количество токенов
2⃣ Депонировал небольшую сумму в пул SushiSwap USDC-USDT
3⃣ Прямой вклад в для получения высоких процентов
4⃣ Манипулирование оракулом для повышения интереса
5⃣ Чеканная полибумага

- pancakebunny.finance (@PancakeBunnyFin) 16 июля 2021 г.

Послесловие

Хотя протокол подтвердил, что его хранилища Polygon и BSC, поскольку контракт SushiSwap был в безопасности, он заверил, что выплатит компенсацию тем, кто владел собственными токенами протокола на момент атаки. 

"Team Bunny распределит в общей сложности $2,4 млн в токенах MND в качестве общей компенсации держателям polyBUNNY. Эта сумма соответствует сумме, которая была использована злоумышленником".

MND - это не протокольный токен, чеканящийся со временем, а полезный токен фиксированного объема, связанный с хранилищем Mound Vault, которое собирает и распределяет доходы от расширения экосистемы.

После обнаружения эксплойта команда объявила, что "пересмотрела свои протоколы для обеспечения максимальной безопасности при запуске новых продуктов", опубликовав подробности процесса запуска протокола кредитования Qubit и обновления хранилища Mound (MND).

В свете недавнего эксплойта Team Bunny пересмотрела свои протоколы для обеспечения максимальной безопасности при запуске новых продуктов.

Пожалуйста, посетите приведенную ниже ссылку для получения более подробной информации о пересмотренном процессе запуска Qubit и обновленной информации о нашем хранилище Mound (MND).https://t.co/E9qWs69j2Q.

- pancakebunny.finance (@PancakeBunnyFin) 19 июля 2021 г.

По данным CoinGecko, нативный токен протокола PolyBunny упал на 85% с исторического максимума в $22,9, достигнутого 7 июля. 

Версия Binance Smart Chain, токен PancakeBunny, в настоящее время торгуется на уровне $13,22, поскольку его цена упала на 29% за последние семь дней. 

Хотя, по словам команды, "BSC BUNNY никоим образом не пострадал" от этого конкретного эксплойта, примерно два месяца назад CryptoSlate сообщил, что PancakeBunny подвергся аналогичной, но более разрушительной атаке флэш-кредитования.