Ошибка в смарт-контракте привела к тому, что за выходные с биржи Binance Smart Chain на основе протокола `Bogged Finance` утекло 3 миллиона долларов, свидетельствуют данные из нескольких источников. В ответ на это токен протокола BOG упал на 98%.

"Мы знаем об атаке на BOG с использованием флэш-кредитов и так же опустошены, как и вы. Мы считаем, что предотвратили дальнейшие кражи, направленные против большего количества нашей ликвидности", - написали разработчики в Twitter в субботу, вскоре после взлома.

Мы знаем об атаке на BOG с использованием флэш-кредитов и так же, как и вы, потрясены. Мы уверены, что предотвратили дальнейшие кражи, направленные против большего количества нашей ликвидности.

Мы сделаем дальнейшие объявления в ближайшие часы и дни.

- BogTools - Powering DeFi on #BSC. (@bogtools) 22 мая 2021 г.

"СКОРО ПЕРЕЗАПУСК. Не покупайте $BOG в это время", - говорится в биографии проекта в Twitter.

Загнанный в трясину взлом DeFi

Взломы децентрализованных финансовых систем (DeFi) в подавляющем большинстве случаев происходят в криптовалютном пространстве. Технология является новой и весьма экспериментальной, а отсутствие достаточного опыта в управлении такой сложной инфраструктурой приводит к тому, что взлому подвергаются несколько мелких игроков

И хотя игроки малы и неизвестны, потери велики и радикальны - достаточно, чтобы попасть в заголовки мировых СМИ, если бы это случилось с традиционной компанией.

Компания Bogged стала жертвой этой сложности в выходные. Протокол позволяет пользователям исследовать и размещать `лимитные ордера` на любой токен на Binance Smart Chain и является частью более широкого набора `BogTools` для других услуг и операций DeFi.

По данным PeckShield, Bogged Finance, протокол DeFi на BSC, был атакован флэш-кредитом, что привело к убыткам в размере $3,62 млн. Это уже третья атака на BSC, связанная с флэш-кредитованием. Цена BOG рухнула, упав с 8,5 до 0,15, что составляет 98%. pic.twitter.com/vdko7YRk9u

Wu Blockchain (@WuBlockchain) 23 мая 2021 г.

Как объяснила команда Bogged в официальном релизе, злоумышленник использовал "сложную атаку на основе флэш-кредитования", направленную на то, как работает протокол. "Флэш-кредиты", для непосвященных, представляют собой варианты займов без обеспечения, которые позволяют пользователям брать средства без залога мгновенно при условии, что ликвидность возвращается в пул в течение одного блока транзакций.

Злоумышленник смог использовать флэш-кредиты для эксплуатации недостатка в разделе "Ставка" смарт-контракта BOG, чтобы манипулировать вознаграждением за ставку и вызвать инфляцию предложения", - пояснила команда.

Команда Bogged смогла обнаружить и устранить последствия атаки в течение заявленных 45 секунд. Однако ущерб уже был нанесен, и хакер унес почти 3 миллиона долларов.

План на будущее

В релизе команда Bogged заявила, что удалит текущую ликвидность с платформы и переведет ее на новый контракт. "Мы сливаем все средства из пула ликвидности, используя тот же самый эксплойт, который использовал злоумышленник", - заявила команда.

Пользователи и держатели токенов, кроме того, получат компенсацию. "Мы надеемся сжечь примерно 7,5 млн токенов в ходе этой миграции, но точное число может измениться. Затем мы вернем токены Liquidity их законным владельцам, а затем вернем законно принадлежащие и купленные $BOG их владельцам", - заявила команда.

Средства находятся в безопасности в кошельке деплойера и будут распределяться как LP среди стакеров LP.https://t.co/CXgkw1jmse.

- BoggedFinance: Графики, лимитные ордера и DEX. (@boggedfinance) 23 мая 2021 г.

Атаки флэш-кредитов ранее приводили к убыткам в десятки миллионов долларов для держателей токенов и поставщиков ликвидности. Большинство из них предлагают компенсационные планы, чтобы сохранить свою репутацию, но это редко заставляет задуматься о том, что большинство DeFi остаются высокорискованными и экспериментальными, и ставить больше, чем можно позволить себе потерять, вряд ли является разумным выбором.

Источник