最大机枪池被黑客攻击,BSC接连被暴击后将走向何方?
5月20日,BSC最大的机枪池PancakeBunny遭黑客攻击,短时间内铸造了大量pancakebunny代币Bunny,价值大约10亿美元,随后被黑客抛售到市场,bunny币价暴跌90%以上。这次攻击并非直接盗取平台上用户的资金,但是由于bunny价格暴跌,间接导致用户资金损失,尤其是此前高价买入bunny的用户。
联系到昨天BSC上最大的借贷平台Venus被恶意借贷,导致2亿美元坏账。接连两天,BSC两员猛将元气大伤,也让人对BSC的未来充满担忧,这到底是巧合还是一场有组织的攻击?
BSC最大机枪池被攻击,代币瞬间“归零”
北京时间5月20日6点34分,PancakeBunny被经济漏洞攻击,导致BUNNY价格暴跌。从200美元迅速跌至4美元,几近归零。
PancakeBunny事后给出的解释是:黑客使用PancakeSwap借入了大量BNB,然后操纵USDT / BNB以及BUNNY / BNB的价格,黑客最终通过闪电贷获得了大量的BUNNY,随后抛售获利。Pancakebunny平台上的资金是安全的,Bunny团队目前正在研究解决方案,并将尽快提供报告。
随后,区块链安全公司CertiK、PeckShield、慢雾都对该事件给出了分析。
慢雾的分析最为详尽,需要较强的技术背景才能理解。用通俗的语言总结起来就是:这是一次典型的利用闪电贷操作价格的攻击,关键点在于 WBNB-BUNNY LP 的价格计算存在缺陷,而铸造的 BUNNY 数量依赖于此存在缺陷的 LP 价格计算方式,最终导致攻击者利用闪电贷操控了 WBNB-BUNNY 池子从而拉高了LP的价格,从而铸造了大量的 BUNNY 代币。
PeckShield的分析报告显示,黑客从PancakeSwap的8个资金池中提取了大量WBNB,又从Fortube Bank提取了296万美元的USDT。然后将296万美元USDT和7886个WBNB存入WBNB - BUSDT资金池得到了14.44万个LP代币。接着,通过上述WBNB - BUSDT资金池将232万个WBNB交换为383万个BUSDT,以便该池具有足够大的WBNB储备,这将影响池令牌的评估。最后,黑客凭借较高的LP代币估值,领取了697万个bunny的奖励(价值约10亿美元)。值得注意的是,pancakebunny的开发团队获得了105万个BUNNY。最后,黑客归还了全部贷款。
CertiK则提供了一份精简的攻击流程图:
可以看出,黑客从此次攻击中拿走了69.72万个 BUNNY和11.46万个BNB。此后通过1inch将部分资产兑换为ETH并通过anyswap桥将其转换为了ETH。
割肉还是抄底?
据悉,在黑客攻击前,bunny的总量大约是150万个,黑客攻击后bunny总量超过960万,相当于产量一夜之间增发5倍。在总市值不变的情况下,Bunny的价格应该为原来的1/6,即25美元。
然而,由于恐慌情绪蔓延,币价一度被砸到1美元。
有社群大V提醒群内成员,Bunny被攻击后团队发公告建议大家不要抄底,可能要快照。一旦快照,现在的bunny就不值钱了,建议大家出掉。因为参照以往类似的案例,快照后旧币归零。不过,官方用的话术是:We will be using a timestamp of the time of attack for reimbursement purposes。这句话的意思是会根据攻击时刻对用户补偿。并没有直接说这个补偿究竟是发一种新币还是补偿旧币,也没有说快照后旧币归零。
随后,Bunny价格大幅反弹,因恐慌而割肉的投资人叫苦不迭。目前bunny价格回升到30美元以上。
两天痛失两员猛将,BSC将走向何处?
最近BSC安全事件频发。5月5日和8日,DeFi 协议 ValueDeFi遭到两次攻击,损失金额超过2000万美元。5月16日,跨链智能收益协议bEarn Fi遭受黑客攻击,损失1100万美元。
昨天,BSC最大的借贷平台被人恶意借贷造成平台坏账超过2亿美元。今天,BSC最大的机枪池被黑客增发代币,撸走4000万美元。
如果此前的攻击是小打小闹,那么BSC上的两个“一哥”接连被攻破,则让人不得不思考:到底问题出在哪儿了?
最大的借贷平台和最大的机枪池已经失守,如果最大的DEX平台pancakeswap再出事的话,整个BSC的命运将风雨飘飘摇。