Хакеры украли $1,9 млн у DeFi-протокола PancakeHunny

hacks_1-min
hacks_1-min

20 октября децентрализованный протокол PancakeHunny подвергся атаке с помощью мгновенного кредита и потерял 388 BNB и 1,7 млн TUSD (примерно $1,9 млн). Первыми на атаку обратили внимание специалисты компании в сфере блокчейн-безопасности PeckShield Inc.

По их данным, хакер осуществил 32 транзакции для создания огромного количества монет HUNNY.

«Взлом стал возможным из-за ошибки инфляции прибыли, которая конвертирует относительно небольшую сумму нафармленных ALPACA в большое число TUSD для стейкинга. Эти конвертированные TUSD затем засчитываются как прибыль и используются для создания огромного количества монет HUNNY», – объяснили эксперты.

В дальнейшем хакер пропустил средства через миксеры Typhoon Network и Tornado Cash, а также протоколы Anyswap, Celer Network и Synapse Protocol. В финале они были обменены на Ethereum.

Хакеры украли $1,9 млн у DeFi-протокола PancakeHunny
Данные: PeckShield Inc. 

В результате атаки цена токена HUNNY обрушилась более чем на 60% и на момент написания составляет $0,1179.

Хакеры украли $1,9 млн у DeFi-протокола PancakeHunny
Данные: CoinMarketCap.

Позднее разработчики PancakeHunny подтвердили факт атаки. Они заверили, что все средства пользователей находятся в безопасности, а эксплойт повлиял только на цену HUNNY.

По их данным, хакер создал смарт-контракт для эксплойта хранилища HUNNY TUSD, который впоследствии был исполнен 26 раз.

Они привели последовательность шагов злоумышленника. Вначале он получил мгновенный заем от Cream Finance в размере 53,25 BTC. Эти средства он обменял на кредитные 2 717 107 TUSD от протокола Venus.

В дальнейшем хакер манипулировал ценой пула BNB/TUSD на PancakeSwap и использовал 50 различных кошельков для депозита 38 250 TUSD в хранилище HUNNY TUSD. После чего выкупил 2842,16 TUSD и выпустил 12 020,40 HUNNY, которые затем продал за 7,78 WBNB.

Разработчики PancakeHunny остановили процесс создания токена TUSD Vault.

«Мы изменим маршрутизацию на пулы с более высокой ликвидностью, чтобы предотвратить последствия манипулирования ценами», – добавили они.

Напомним, в конце августа атаке с помощью мгновенного кредита подвергся DeFi-протокол Cream Finance. Ущерб составил 462 079 976 AMP и 2804 ETH (более $18 млн).

Спустя несколько недель проекту удалось вернуть 5152,6 ETH (примерно $16,7 млн на тот момент), идентифицировав хакера с помощью сообщества. При этом злоумышленник получил 10% от суммы в качестве награды за обнаруженную ошибку.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK