7,2 mln USD wydrenowane z BurgerSwap
Uruchomiony na początku tego roku BurgerSwap jest projektem DeFi umożliwiającym użytkownikom wymianę tokenów emitowanych na BSC i zarabianie nagród za dostarczanie płynności. Wczoraj protokół opublikował na Twitterze oświadczenie o naruszeniu bezpieczeństwa, którego doświadczył.Wszystko wydarzyło się 28 maja, a sprawcy wybrali dość znany i powszechny sposób na wykorzystanie protokołu - pożyczkę flash. W ten sposób w 14 transakcjach udało im się wydrenować 7,2 miliona dolarów. Hakerzy stworzyli własną fałszywą monetę i utworzyli nową parę handlową z BURGER - natywnym tokenem BurgerSwap. Później dostosowali routing na - BURGER -> Fałszywa Moneta -> Wrapped BNB. Napastnicy wykorzystali parę handlową BURGER/Fałszywa moneta do ponownego wejścia w BurgerSwap i manipulowali liczbą reserve0 i reserve1 w kontrakcie, powodując istotną zmianę ceny. Poprzez ponowne wejście do transakcji i handel z powrotem do WBNB, udało im się pozyskać dodatkowe WBNB. W ten sposób dokonali flash swapu 6000 WBNB (2 miliony dolarów) z PancakeSwap, a następnie prawie całego WBNB na 92 000 BURGER na BurgerSwap. Ostatecznie łupem hakerów padło 4400 WBNB (1,6 mln USD), 22 000 BUSD, 2,5 ETH (6,8 tys. dolarów), 432 000 BURGER (3,2 mln USD), 142 000 xBURGER (1 mln USD) i 95 000 ROCKS. Projekt DeFi zawiesił na razie wszystkie swoje usługi i będzie "ciężko pracował, aby pokryć straty użytkowników."6/9
(3) Created pair with a fake token on BurgerSwap & added 100 fake tokens and 45k $BURGER to pool; (4) Swapped 100fake tokens to 4,400 $WBNB through the pool; (5) Because of reentrancy in time of transfer fake token, attacker did another swap from 45k $BURGER to 4.4k $WBNB; pic.twitter.com/SeVcE2bJ6w — BurgerSwap (@burger_swap) May 28, 2021
Komentarze