Платформа DeFi на базе смарт-цепочки Binance подверглась атаке флэш-кредитов на сумму $3 млн.

В децентрализованной финансовой экосистеме Binance Smart Chain произошел второй за неделю эксплойт для флэш-кредитов после PancakeBunny. Новая атака вывела 3 миллиона долларов, или половину общей ликвидности, из DeFi платформы Bogged Finance. Команда подтвердила факт атаки 23 мая, предупредив пользователей не покупать ее родной токен, пока проблема не будет решена.

Команда разработчиков выявила и устранила последствия эксплойта в течение 45 секунд, или 15 блоков, благодаря онлайн-совещанию, проведенному в момент начала атаки. Тем не менее, преступник смог слить 3 миллиона долларов из 6 миллионов долларов ликвидности. После атаки цена токена BOG рухнула примерно с $1,8 до $0,0003.

Bogged Finance позволяет пользователям размещать лимитный ордер на любые токены Binance Smart Chain. Команда поделилась подробностями атаки в сообщении на Medium:

"Злоумышленник смог использовать флэш-кредиты для эксплуатации недостатка в разделе "Ставка" смарт-контракта BOG, чтобы манипулировать вознаграждением за ставку и вызвать инфляцию предложения - без взимания и сжигания комиссии за транзакцию, что привело к чистой инфляции".

По словам команды, лимит транзакций в 47 500 BOG замедлил автоматизированный процесс злоумышленника и потенциально смягчил ущерб. За 45 секунд до того, как ведущий разработчик исправил эксплойт, отключив плату за транзакции, хакер смог провести в общей сложности 11 транзакций и заработать 11 358 BNB.

Команда работает над переносом ликвидности на новый контракт, "используя тот же эксплойт, который использовал злоумышленник". Они разместят обновленную версию контракта на Binance Smart Chain или BSC.

После сжигания около 7,5 миллионов ранее намайненных токенов во время миграции, Bogged Finance выпустит в воздух ликвидные токены держателей. "Если вы заплатили за свой BOG, родной токен платформы, он в безопасности", - говорится в сообщении. Команда ожидает, что после всего процесса, который, согласно вчерашнему объявлению, займет 48 часов, объем циркулирующего предложения уменьшится.

На прошлой неделе аналогичной атаке подвергся известный BSC-протокол DeFi PancakeBunny. Хакеры завладели более чем 200 миллионами долларов в криптовалюте, использовав эксплойт в атаке на флэш-кредиты.