PancakeBunny - REKT
"Les flash loans ne sont-ils pas une carotte ?" dixit le hacker.
45 millions de dollars se sont volatilisés de PancakeBunny Finance.
Cela a été rendu possible grâce à un bug dans le protocole qui utilise PancakeSwap pour récupérer les prix des fournisseurs de liquidité sur PancakeSwap (BNB-BUSDT / BNB-BUNNY).
8 flash loans ont été utilisés pour manipuler le prix sur divers pools de PancakeSwap, créant un calcul faussé du BUNNY à partir du vault VaultFliptoFlip.
Cela a conduit à minter 697 000 jetons BUNNY, qui ont ensuite été vendus, faisant chuter le prix de 146 à 6 dollars.
Source : Peckshield
Étape 1 : On prend 8 flash loans différents :
Les sept premiers proviennent de diverses pools sur PancakeSwap, tandis que le dernier provient de Fortube Bank.
1.05 million de WBNB à partir de la pool WBNB+CAKE
522.52k WBNB de la pool WBNB+BUSD
210.16k WBNB de la pool WBNB+ETH
133.50k WBNB de la pool WBNB+BTCB
241.02k WBNB de la pool WBNB+SAFEMOON
98.519k WBNB de la pool WBNB+BELT
66.29k WBNB de la pool WBNB+DOT
2.96 millions de USDT à partir de Fortube Bank.
Étape 2 : On dépose 2.96 millions de USDT et 7886 WBNB dans la pool WBNB+BUSDT comme liquidité et on mint 144.45k LP tokens.
Étape 3 : On échange 2.32 millions de WBNB contre 3.83 millions de BUSDT via la pool WBNB+BUSDT cité ci-dessus, de sorte que la pool dispose d'une réserve de WBNB suffisamment importante, réserve qui est utilisée pour influencer le prix des tokens de la pool.
Étape 4 : On call getReward() pour réclamer les récompenses du VaultFlipToFlip. Avec un prix plus élevé des LP tokens, l'assaillant est en mesure de réclamer une récompense de 6.97 millions de BUNNY (d’une valeur approximative supérieure à plus d’un milliard de dollars). Notez que l'équipe de développement reçoit 1.05 million de BUNNY séparément.
Étape 5 : On retourne les flash loans de l'étape 1 dans les pools de PancakeSwap et sur Fortube Bank.
Le butin de l'assaillant était initialement détenu dans ce portefeuille : 0xa0acc61547f6bd066f7c9663c17a312b6ad7e187.
À son apogée, Pancake Bunny avait plus de 10 milliards de dollars de TVL.
Cette TVL n'est désormais plus que d'un peu plus d'un milliard de dollars à l'heure où nous écrivons ces lignes.
Même un audit d'Haechi n'a pas pu protéger le Pancake Bunny de la puissance impressionnante de l'attaque des flash loans, qui lui a valu la troisième place du classement rekt.
Si la journée d'hier a été particulièrement éprouvante pour l'ensemble des marchés de crypto-monnaies, elle l'a été tout particulièrement pour les utilisateurs de la BSC qui ont dû se croire arrivés à l’Apocalypse, Venus Protocol et "wArOnrUgS" ayant implosé à quelques heures d'intervalle.
Les lecteurs fidèles auront remarqué que notre auteur anonyme était malheureusement indisponible en cette journée si mouvementée.
Nous recrutons toujours des membres de la communauté pour nos départements de recherche et d'OPSEC.
Êtes-vous prêts à nous aider dans notre quête de documentation sur la corruption et l'exploitation au sein de la crypto et de la DeFi ?
Si vous avez des suggestions ou des contributions à proposer pour notre classement ou notre contenu en général, veuillez les ajouter au repo rekt, ou nous contacter sur Twitter, Telegram, ou par e-mail à l'adresse ci-dessous.
Modification du 18 Juillet 2021 :
Haechi nous a contactés pour nous faire part de la déclaration suivante :
Nous avons audité leurs smart contracts et publié un rapport. Celui-ci mettait en garde contre le fait qu'il existe des contrats externes non audités et modifiables et que la fonction "helper" est faible face aux attaques via flash loans. L'équipe de Pancake Bunny a mis à jour ses smart contracts et a choisi une autre équipe d'audit pour les contrats mis à jour. Ce flash loan a été causé par de nouveaux smart contracts que nous n'avons pas audités.
Vous pouvez trouver les détails ici.
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.
vous pourriez aussi aimer...
PancakeBunny - REKT 2
Il y a deux mois, PancakeBunny s'est fait rekt sur la BSC. Et voilà que la même chose se reproduit sur Polygon. 2,4 millions de dollars ont été perdus. Nous n'en croyons pas nos oreilles.
Fortress Protocol - REKT
La forteresse est un champ de ruines après que 3M$ aient été volés suite à une manipulation d'oracle et un acte de gouvernance malveillant. L'interface utilisateur est mise en pause, mais les contrats restent actifs. L'écosystème de Fortress renflouera-t-il les utilisateurs pour les fonds perdus ?
Qubit Finance - REKT
Parmi les autres nouvelles… Qubit Finance, un protocole de prêt basé sur BSC lancé par l'équipe derrière le récidiviste PancakeBunny, a été victime d'un exploit de 80 millions de dollars. Mais quelqu'un s'en souviendra-t-il la semaine prochaine ?