Các dự án được xây dựng trên Binance Smart Chain gần đây đang liên tục trở thành mục tiêu của những kẻ tấn công. Sau Pancake Bunny, BurgerSwap hay Venus, sáng ngày 30 tháng 5, cái tên mới nhất trong danh sách này là Belt Finance, với tổng thiệt hại tạm ước tính được là 6,2 triệu USD.
Belt Finance là một nền tảng AMM tối ưu hóa lợi nhuận được xây dựng trên Binance Smart Chain. Tính đến thời điểm ra mắt, đây là dự án IFO lớn nhất trên Pancake Swap với tốc độ phát triển cực nhanh, chạm mốc 700 triệu USD TVL chỉ trong vòng 48h.
Lại là “con dao 2 lưỡi” Flash loan
Sáng ngày 30/05 (theo giờ Việt Nam), trang tin Wu Blockchain đã lên tiếng về vụ tấn công của Belt Finance với thiệt hại 6,2 triệu USD:
Belt Finance on BSC suffered a flash loan attack and lost US$6.2 million. pic.twitter.com/r8XKCfuN5g
— Wu Blockchain (@WuBlockchain) May 30, 2021
Đội ngũ Belt Finance cũng đã lên tiếng xác nhận thông tin về vụ tấn công
Partial funds of our 4Belt pool have been affected.(Accurate amount will be announced soon).
We are now analysising and fixing our contract for safety.
Compensation plan and accident report will be up soon.
Withdraw of BSC vaults will be paused until contract upgrade is complete— Belt Finance (@BELT_Finance) May 30, 2021
“Một phần quỹ 4Belt của chúng tôi đã bị ảnh hưởng. (Số tiền chính xác sẽ sớm được công bố).
Chúng tôi hiện đang phân tích và cập nhật hợp đồng để đảm bảo an toàn.
Kế hoạch bồi thường và báo cáo về vụ tấn công sẽ sớm được công bố.
Việc rút các vault BSC sẽ bị tạm dừng cho đến khi hoàn tất quá trình nâng cấp hợp đồng.”
Sau khi thông tin về vụ tấn công được đăng tải, giá của BELT đã giảm đến 30%, từ 40 USD xuống 28 USD trong thời điểm hiện tại.
Theo Igor Igamberdiev , thành viên đội nghiên cứu thị trường của The Block, cũng là tài khoản theo dõi sát sao những vụ tấn công trên BSC, quy trình của vụ tấn công được thực hiện như sau:
3/8
3) Deposited 187M BUSD to bVenusBUSD strategy (‘Most Insufficient Strategy’)
❗️The following steps are repeated seven+ times ?
4) Swapped 190M BUSD to 169M USDT through Ellipsis pic.twitter.com/HTwrhkuuu6
— Igor Igamberdiev (@FrankResearcher) May 29, 2021
1) Sử dụng flash loan vay 385 triệu USD bằng token BUSD từ PancakeSwap
2) Gửi 10 triệu BUSD vào pool bEllipsisBUSD (chỉ thực hiện với giao dịch đầu tiên, đây là “Most Insufficient Strategy”)
3) Liên tục gửi BUSD vào pool bVenusBUSD, swap ra USDT (thông qua Ellipsis), sau đó rút BUSD ra, Swap sang USDT, rồi lại tiếp tục vòng lặp này.
4) Trả khoản flash loan và thu về lợi nhuận
Giá beltBUSD phụ thuộc vào tổng số dư của tất cả các vault. Về mặt lý thuyết, các hành động lặp đi lặp lại như trên sẽ không tạo ra lợi nhuận vì số lượng tài sản không thay đổi.
Tuy nhiên, những kẻ tấn công đã tiến hành thao túng giá của beltBUSD – một điểm yếu trong cấu trúc của Belt Finance. Bằng cách liên tục mua và bán BUSD, kẻ tấn công đã thao túng mức giá token này với một lỗi trong chiến lược tính toán số dư bEllipsisBUSD.
7/8
However, if there is a way to manipulate other strategies, it is possible to manipulate the beltBUSD price.
Apparently, by buying and selling BUSD, the attacker manipulated this price with a bug in the bEllipsisBUSD strategy balance calculations. pic.twitter.com/WyMLWDChJ9
— Igor Igamberdiev (@FrankResearcher) May 29, 2021
Tất cả BUSD bị đánh cắp đã được chuyển đổi thành 2680 anyETH (6 triệu USD) thông qua 1 inch v3 và một phần được rút về Ethereum. 1463 ETH vẫn đang trong quá trình hoàn tất việc chuyển khỏi cross-chain bridge tại thời điểm thực hiện bài viết.
Những mối lo ngại từ Binance Smart Chain
Đây là vụ tấn công thứ 4 chỉ trong vòng 10 ngày nhắm vào các dự án lớn trên BSC, sau sự cố của Venus, thị trường lại một phen thót tim với việc Pancake Bunny bị tấn công flash loan, 10 tỷ USD giá trị token được in vô tội vạ. Không lâu trước đây, Spartan Protocol cũng bị tấn công.
Xa hơn, vào ngày 28/04, nền tảng từng “cà khịa” PancakeSwap là Uranium Finance vừa bị cuỗm mất 50 triệu USD. Những vụ việc này làm dấy lên câu hỏi lớn về tính an toàn của các dự án xây dựng trên Binance Smart Chain, và xa hơn là chính bản thân mạng lưới BSC.
With popularity comes scandals. While #BinanceSmartChain expands its reputation, hacks on #DeFi protocols housed on the network also increase. #BSC is still new with a lot more room to improve its security.
Yet, it’s highly critical that users remain cautious! pic.twitter.com/ZA5n8troK5— Kyros Ventures (@KyrosVentures) May 21, 2021
Coin68 tổng hợp
Có thể bạn quan tâm:
