20 октября децентрализованный протокол PancakeHunny подвергся атаке с помощью мгновенного кредита и потерял 388 BNB и 1,7 млн TUSD (примерно $1,9 млн). Первыми на атаку обратили внимание специалисты компании в сфере блокчейн-безопасности PeckShield Inc.
https://twitter.com/peckshield/status/1450801612901937152
По их данным, хакер осуществил 32 транзакции для создания огромного количества монет HUNNY.
"Взлом стал возможным из-за ошибки инфляции прибыли, которая конвертирует относительно небольшую сумму нафармленных ALPACA в большое число TUSD для стейкинга. Эти конвертированные TUSD затем засчитываются как прибыль и используются для создания огромного количества монет HUNNY", – объяснили эксперты.
В дальнейшем хакер пропустил средства через миксеры Typhoon Network и Tornado Cash, а также протоколы Anyswap, Celer Network и Synapse Protocol. В финале они были обменены на Ethereum.
Данные: PeckShield Inc.
В результате атаки цена токена HUNNY обрушилась более чем на 60% и на момент написания составляет $0,1179.
Данные: CoinMarketCap.
Позднее разработчики PancakeHunny подтвердили факт атаки. Они заверили, что все средства пользователей находятся в безопасности, а эксплойт повлиял только на цену HUNNY.
https://twitter.com/PancakeHunny/status/1450807909894348803
По их данным, хакер создал смарт-контракт для эксплойта хранилища HUNNY TUSD, который впоследствии был исполнен 26 раз.
Они привели последовательность шагов злоумышленника. Вначале он получил мгновенный заем от Cream Finance в размере 53,25 BTC. Эти средства он обменял на кредитные 2 717 107 TUSD от протокола Venus.
В дальнейшем хакер манипулировал ценой пула BNB/TUSD на PancakeSwap и использовал 50 различных кошельков для депозита 38 250 TUSD в хранилище HUNNY TUSD. После чего выкупил 2842,16 TUSD и выпустил 12 020,40 HUNNY, которые затем продал за 7,78 WBNB.
Разработчики PancakeHunny остановили процесс создания токена TUSD Vault.
"Мы изменим маршрутизацию на пулы с более высокой ликвидностью, чтобы предотвратить последствия манипулирования ценами", – добавили они.
Напомним, в конце августа атаке с помощью мгновенного кредита подвергся DeFi-протокол Cream Finance. Ущерб составил 462 079 976 AMP и 2804 ETH (более $18 млн).
Спустя несколько недель проекту удалось вернуть 5152,6 ETH (примерно $16,7 млн на тот момент), идентифицировав хакера с помощью сообщества. При этом злоумышленник получил 10% от суммы в качестве награды за обнаруженную ошибку.
