Хакеры украли $1,9 млн у DeFi-протокола PancakeHunny

20 октября децентрализованный протокол PancakeHunny подвергся атаке с помощью мгновенного кредита и потерял 388 BNB и 1,7 млн TUSD (примерно $1,9 млн). Первыми на атаку обратили внимание специалисты компании в сфере блокчейн-безопасности PeckShield Inc. https://twitter.com/peckshield/status/1450801612901937152 По их данным, хакер осуществил 32 транзакции для создания огромного количества монет HUNNY. "Взлом стал возможным из-за ошибки инфляции прибыли, которая конвертирует относительно небольшую сумму нафармленных ALPACA в большое число TUSD для стейкинга. Эти конвертированные TUSD затем засчитываются как прибыль и используются для создания огромного количества монет HUNNY", – объяснили эксперты. В дальнейшем хакер пропустил средства через миксеры Typhoon Network и Tornado Cash, а также протоколы Anyswap, Celer Network и Synapse Protocol. В финале они были обменены на Ethereum. Данные: PeckShield Inc.  В результате атаки цена токена HUNNY обрушилась более чем на 60% и на момент написания составляет $0,1179. Данные: CoinMarketCap. Позднее разработчики PancakeHunny подтвердили факт атаки. Они заверили, что все средства пользователей находятся в безопасности, а эксплойт повлиял только на цену HUNNY. https://twitter.com/PancakeHunny/status/1450807909894348803 По их данным, хакер создал смарт-контракт для эксплойта хранилища HUNNY TUSD, который впоследствии был исполнен 26 раз. Они привели последовательность шагов злоумышленника. Вначале он получил мгновенный заем от Cream Finance в размере 53,25 BTC. Эти средства он обменял на кредитные 2 717 107 TUSD от протокола Venus. В дальнейшем хакер манипулировал ценой пула BNB/TUSD на PancakeSwap и использовал 50 различных кошельков для депозита 38 250 TUSD в хранилище HUNNY TUSD. После чего выкупил 2842,16 TUSD и выпустил 12 020,40 HUNNY, которые затем продал за 7,78 WBNB. Разработчики PancakeHunny остановили процесс создания токена TUSD Vault. "Мы изменим маршрутизацию на пулы с более высокой ликвидностью, чтобы предотвратить последствия манипулирования ценами", – добавили они. Напомним, в конце августа атаке с помощью мгновенного кредита подвергся DeFi-протокол Cream Finance. Ущерб составил 462 079 976 AMP и 2804 ETH (более $18 млн). Спустя несколько недель проекту удалось вернуть 5152,6 ETH (примерно $16,7 млн на тот момент), идентифицировав хакера с помощью сообщества. При этом злоумышленник получил 10% от суммы в качестве награды за обнаруженную ошибку.