DeFi-проект BurgerSwap на BSC потерял $7 млн после атаки

DeFi-проект BurgerSwap, функционирующий на Binance Smart Chain, был атакован сегодня ночью.

Злоумышленник использовал флэш-кредиты для использования протокола на сумму в $7,2 млн.

1/7

Another flash loan attack on a major DeFi protocol on BSC.

Today $7.2M was stolen from @burger_swap in 14 transactions.

Let’s see what’s happened👇 pic.twitter.com/gZQwiJGJ6X

— Igor Igamberdiev (@FrankResearcher) May 28, 2021

Для справки:

Флэш-кредиты — это займы на основе блокчейна, при которых большие суммы токенов заимствуются, используются для определенных целей и возвращаются — и все это в рамках одной транзакции.

По словам основателя DEX Uniswap, атака стала возможной из-за отсутствия ключевой строки кода на BurgerSwap.

«BurgerSwap был основан на коде Uniswap V2, из которого была удалена определенная строка, поэтому ядро могло быть очень легко истощено».

This thread sounds complicated. Here’s what happened very simply.

Uniswap v2 fork removed the only line that enforces x*y=k from core:

So core could very trivially be drained.

This is the line that was removed:https://t.co/iN3nc1xMTm

iWoNDerWhYTHeyDiDtHAt https://t.co/B9TN3KP25U

— Hayden Adams 🦄 (@haydenzadams) May 28, 2021

В результате злоумышленник смог использовать протокол для совершения двух транзакций вместо одной. В одном из сценариев злоумышленники заимствовали 6000 WBNB и смогли использовать токены, чтобы превратить их в 8 800 WBNB (это протокол должен был предотвратить). Затем после погашения займа у них остался запас токенов.

Другими словами использовались крупные займы без обеспечения для манипулирования соотношением активов в пулах и вывода ликвидности.

Эта же атака использовалась несколько раз в 14 транзакциях для кражи ряда токенов, включая WBNB, ETH и BURGER.

«Текущий совокупный убыток составляет около $7 млн, и мы покроем потери пользователей из своих резервов. Подробный план компенсации находится в разработке», — заявили представители BurgerSwap в своем Twitter.

The current total loss is around $7 million and we will strive to cover all your loss.

— BurgerSwap (@burger_swap) May 28, 2021

Позднее выяснилось, что по такому же сценарию были совершены атаки на DEX JulSwap.