Новости

Хакеры украли $1,9 млн у DeFi-протокола PancakeHunny

20 октября децентрализованный протокол PancakeHunny подвергся атаке с помощью мгновенного кредита и потерял 388 BNB и 1,7 млн TUSD (примерно $1,9 млн). Первыми на атаку обратили внимание специалисты компании в сфере блокчейн-безопасности PeckShield Inc.

По их данным, хакер осуществил 32 транзакции для создания огромного количества монет HUNNY.

«Взлом стал возможным из-за ошибки инфляции прибыли, которая конвертирует относительно небольшую сумму нафармленных ALPACA в большое число TUSD для стейкинга. Эти конвертированные TUSD затем засчитываются как прибыль и используются для создания огромного количества монет HUNNY», – объяснили эксперты.

В дальнейшем хакер пропустил средства через миксеры Typhoon Network и Tornado Cash, а также протоколы Anyswap, Celer Network и Synapse Protocol. В финале они были обменены на Ethereum.

Данные: PeckShield Inc. 

В результате атаки цена токена HUNNY обрушилась более чем на 60% и на момент написания составляет $0,1179.

Данные: CoinMarketCap.

Позднее разработчики PancakeHunny подтвердили факт атаки. Они заверили, что все средства пользователей находятся в безопасности, а эксплойт повлиял только на цену HUNNY.

По их данным, хакер создал смарт-контракт для эксплойта хранилища HUNNY TUSD, который впоследствии был исполнен 26 раз.

Читать так же:  В Grayscale спрогнозировали рост годового дохода сектора метавселенных Web 3.0 до $1 трлн

Они привели последовательность шагов злоумышленника. Вначале он получил мгновенный заем от Cream Finance в размере 53,25 BTC. Эти средства он обменял на кредитные 2 717 107 TUSD от протокола Venus.

В дальнейшем хакер манипулировал ценой пула BNB/TUSD на PancakeSwap и использовал 50 различных кошельков для депозита 38 250 TUSD в хранилище HUNNY TUSD. После чего выкупил 2842,16 TUSD и выпустил 12 020,40 HUNNY, которые затем продал за 7,78 WBNB.

Разработчики PancakeHunny остановили процесс создания токена TUSD Vault.

«Мы изменим маршрутизацию на пулы с более высокой ликвидностью, чтобы предотвратить последствия манипулирования ценами», – добавили они.

Напомним, в конце августа атаке с помощью мгновенного кредита подвергся DeFi-протокол Cream Finance. Ущерб составил 462 079 976 AMP и 2804 ETH (более $18 млн).

Спустя несколько недель проекту удалось вернуть 5152,6 ETH (примерно $16,7 млн на тот момент), идентифицировав хакера с помощью сообщества. При этом злоумышленник получил 10% от суммы в качестве награды за обнаруженную ошибку.

Источник: Источник

Статьи по теме

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button