DeFi взломы на Binance Smart Chain продолжаются, так как Impossible Finance слили $500k

Impossible Finance, децентрализованный финансовый протокол (DeFi) на смарт-цепочке Binance, был использован для получения $500 000 в результате атаки на флэш-кредит. 

Атака на флэш-кредит - это распространенный тип DeFi эксплойтов, при котором хакеры берут беззалоговый кредит у кредитного протокола и с помощью ряда технических маневров манипулируют рынком в свою пользу.

Уязвимость 

Атака на пул ликвидности Impossible Finance произошла 21 июня и привела к потере 229,84 Ethereum (ETH), стоимость которого на момент атаки составляла $500.000. 

Используя поддельный токен, хакеры запустили атаку флэш-кредитования, чтобы исчерпать пул ликвидности протокола.

Аудиторская служба WatchPug объяснила, что атака включала последовательные свопы по примерно одинаковой цене, опустошая пул ликвидности, "что обычно невозможно". 

В 4 часа утра по Гринвичу, 21 июня, $0,5M было украдено у Impossible Finance.

Хакер совершил несколько обменов подряд по примерно одинаковой цене и слил LP, что обычно невозможно.

Как Impossible Finance делает невозможное возможным?

Читайте наш анализ: https://t.co/3r0p1dOFWz

- WatchPug (@WatchPug_) 21 июня 2021 г.

Уязвимость в смарт-контракте пула позволила произвести многократный обмен родного токена протокола Impossible Finance (IF) на стабильный токен Binance USD (BUSD), а затем на родную монету Binance Chain, Binance Coin (BNB).

По словам Мудита Гупты, основного разработчика SushiSwap, дизайн взлома не был таким уж инновационным, и он использовал уязвимость, аналогичную недавней атаке на протокол BurgerSwap, также построенный на смарт-цепочке Binance, в результате которой было украдено 7,2 миллиона долларов.  

Impossible Finance были использованы сегодня для $500k.https://t.co/mzCPRluOjn

Тот же подвиг, что и в случае с обменом бургерами: https://t.co/3PkVtn7Hi7

Если оригинальный проект взламывают, почему форки не реагируют?

- Мудит Гупта (@Mudit__Gupta) 21 июня 2021 г.

Postmortem 

Impossible Finance опубликовала сообщение об инциденте через официальный канал объявлений и заявила, что подготовила страховой фонд.

Проект объявил, что все средства пользователей, внесенные в пулы ликвидности до атаки, будут компенсированы на 100%, тем временем, все вознаграждения пулов ликвидности приостановлены, а пользователям рекомендуется не пополнять и не выводить средства для пар IF/BUSD и IF/BNB. 

Impossible Finance присоединилась к другим эксплойтам флэш-кредитов на Binance Smart Chain, таким как Pancake Bunny и Belt Finance, после того как сеть выпустила официальный "призыв к действию" для разработчиков.

Подражатель? Серийный? В космосе еще предстоит составить профиль всех хищников DeFi.