Quelle: gualtiero boffi – shutterstock
- In den letzten drei Tagen haben zwei neue DeFi-Plattformen in der Binance Smart Chain Angriffe von Hackern erlitten und verloren 6,3 Millionen US-Dollar bzw. 7,2 Millionen US-Dollar.
- BSC hat behauptet, dass diese Angriffe gezielt sind, und fordert alle Entwickler auf seiner Blockchain auf, alle möglichen Sicherheitsmaßnahmen anzuwenden, einschließlich der dreifachen Überprüfung ihres Codes.
Ein weiterer Tag, ein weiterer Angriff auf Binance Smart Chain. Das Blockchain-Netzwerk hat in den letzten zwei Monaten kaum eine Woche ohne Flash-Kreditangriff gesehen. Das neueste ist bei Belt Finance, einer DeFi-Plattform, die laut Experten durch den gleichen Flash-Kredit-Exploit Geld verloren hat, unter dem ihre Vorgänger gelitten haben. Erst vor zwei Tagen verlor BurgerSwap über 7 Millionen US-Dollar durch einen ähnlichen Exploit in einem jetzt zutiefst besorgniserregenden Trend.
Der Belt Finance-Angriff
Der Vorfall mit Belt Finance war ein Lehrbuchangriff mit ein paar kleinen Änderungen Rekt-Blog, eine Website, die DeFi-Hacks detailliert beschreibt. Der Angreifer nutzte eine falsche Aktienbewertung aus, die ihm half, der „jetzt berüchtigten Flash-Darlehen-Exploit-Saison bei der BSC“ einen weiteren Schritt hinzuzufügen.
Rekt hinzugefügt:
Eine weitere Gabel einer Gabel ist vom Fließband gerollt, wobei 6,3 Millionen US-Dollar direkt in die Hände des Hackers gefallen sind. Obwohl es sich um einen etwas raffinierteren Angriff handelt als bei einigen der vorherigen Vorkommnisse, sind alle bekannten Kennzeichen vorhanden.
Der Angriff begann wie bei vielen anderen mit dem Erwerb von BUSD, der Stablecoin von Binance, von einer anderen DeFi-Plattform, diesmal PancakeSwap. Laut Sicherheitsanalysten nahmen die Angreifer 8 Flash-Kredite von PancakeSwap für insgesamt 385 Millionen US-Dollar auf. Sie nutzten dann die „Elipsis“-Strategie des BeltBUSD-Tresors, da diese die am stärksten unterzeichnete war. Danach haben sie die Mittel über die Venus-Strategie durchgesickert.
Elipsis ist eine dezentrale Börse, die es Benutzern ermöglicht, Stablecoins auf BSC mit geringem Slippage zu tauschen, während Venus die führende DeFi-Plattform auf BSC ist.
Mudit Gupta, ein Kernentwickler bei SushSwap, hat sich eingehend mit dem Angriff befasst. Ihm zufolge war der den Hackern verlorene Betrag viel höher als zunächst bekannt. Er bezifferte das gestohlene Geld auf 13 Millionen Dollar.
Er erklärte:
Die Funktionsweise von BeltBUSD Multi-Strategy Vault besteht darin, dass für alle Strategien ein Zielsaldo festgelegt wird. Wenn jemand Geld einzahlt, wird es in die am wenigsten unterzeichnete Strategie eingezahlt. Wenn jemand Geld abhebt, zieht er es von der am stärksten überzeichneten Strategie ab.
Zu Beginn des Exploits war Venus am stärksten unterzeichnet und daher gingen die Einlagen dorthin. Nach der großen Einzahlung des Angreifers wurde Venus zur am meisten überzeichneten Strategie und daher kamen auch die Auszahlungen davon.
— Mudit Gupta (@Mudit__Gupta) 30. Mai 2021
Der BurgerSwap-Angriff
Vor wenigen Tagen wurde eine weitere BSC-Plattform angegriffen und verlor über 7 Millionen US-Dollar. Der Angreifer hat BURGER-Token im Wert von 3,2 Millionen US-Dollar, Wrapped BNB-Token im Wert von 1,6 Millionen US-Dollar und Tether von BurgerSwap im Wert von 1,4 Millionen US-Dollar erbeutet.
Der Angriff auf BurgerSwap fand am 28. Mai statt, wie die Plattform auf Twitter enthüllte. Etwa 7,2 Millionen US-Dollar wurden bei dem Angriff gestohlen, bei dem die Angreifer ihren eigenen gefälschten Coin erstellten und mit dem BURGER-Token ein neues Handelspaar bildeten.
1/9
BurgerSwap Flash Loan Attack Details:
Am 28. Mai gegen 3 Uhr morgens (UTC+8) #BurgerSwap in der BSC-Kette auf einen Flash-Darlehen-Angriff gestoßen; 7,2 Millionen US-Dollar wurden gestohlen #BurgerSwap bei 14 Transaktionen;
— BurgerSwap (@burger_swap) 28. Mai 2021
BurgerSwap war bei BSC sehr beliebt geworden, nachdem es letztes Jahr gestartet war. Es ist ein Klon von Uniswap v2 – was bedeutet, dass sein Code fast identisch mit dem von v2 ist. Wie Hayden Adams, Gründer von Uniswap, bekannt gab, haben die Entwickler von BurgerSwap zufällig eine wichtige Codezeile ausgegeben, die für die Sicherung der Liquiditätspools verantwortlich ist.
Dieser Thread klingt kompliziert. Hier ist, was ganz einfach passiert ist.
Uniswap v2 fork hat die einzige Zeile entfernt, die x*y=k vom Kern erzwingt:
Der Kern könnte also sehr trivial entleert werden.
Dies ist die Zeile, die entfernt wurde:https://t.co/iN3nc1xMTm
Ich frage mich, warum sie es getan haben https://t.co/B9TN3KP25U
— Hayden Adams (@haydenzadams) 28. Mai 2021
Der BurgerSwap-Token wird derzeit bei 6,57 USD gehandelt, gegenüber dem Allzeithoch von 25,18 USD, das er am 3. Mai erreichte. Sein Volumen hat seit dem Angriff etwa 30 Prozent verloren.
Wir sind im Visier: BSC
Inmitten der Zunahme von Angriffen auf DeFi-Plattformen auf Binance Smart Chain behauptet das Blockchain-Projekt, dass die Angriffe auf Projekte in seinem Ökosystem abzielen. BSC nutzte Twitter, um den unglücklichen Anstieg von Flash-Kreditangriffen auf seine Blockchain anzuerkennen. Es behauptete, dass „gut organisierte Hacker jetzt auf BSC abzielen. Es ist eine sehr herausfordernde Zeit für die BSC-Community.“
Es gibt> 8 #flashloan Wir glauben, dass Hacks in letzter Zeit von gut organisierten Hackern ins Visier genommen werden #BSC jetzt. Es ist eine sehr herausfordernde Zeit für die BSC-Community. Wir rufen zum Handeln für alle auf #dapps:
— Binance Smart Chain (@BinanceChain) 30. Mai 2021
BSC forderte die dApp-Entwickler auf, eine Reihe von Maßnahmen einzuhalten, um ihre Sicherheit zu verbessern. Eine davon ist die Zusammenarbeit mit internen Auditoren, um den Kodex zu überprüfen. Die Entwickler müssen auch ihre Plattformen in Echtzeit überwachen und sie pausieren, wenn sie eine Anomalie entdecken.
BSC dApps muss auch einen Notfallplan für den Fall des Schlimmsten planen. Um weiter sicherzustellen, dass alle Schlupflöcher erkannt werden, bevor Angreifer sie ausnutzen, sollten sie ein Kopfgeldprogramm planen.
Die Warnung an die Entwickler kommt Tage, nachdem ein Vertreter von Binance erklärt hat, dass die Börse nicht viel tun kann, um die Kryptos wiederherzustellen, die Angreifer stehlen. Samy Karim sprach kürzlich auf der Konsenskonferenz und erklärte:
BSC ist eine öffentliche, genehmigungsfreie Infrastruktur, sodass jeder dort Projekte bereitstellen kann…. Es ist nicht möglich, wie viele Leute denken, dass es eine Art Rollback gibt,
Quelle: Crypto-News-Flash.com
