Децентрализованный финансовый (DeFi) протокол Impossible Finance потерял до $500 000 пользовательских средств во время сегодняшней атаки на флэш-кредит. Атака на пул ликвидности Impossible Finance произошла примерно в 4:40 утра по Гринвичу 21 июня и привела к потере 229,84 ETH (около $0,5 млн на тот момент).
Мудит Гупта, основной разработчик SushiSwap, сказал, что это был тот же тип уязвимости, который использовался в недавней атаке на BurgerSwap, другой протокол, построенный на основе смарт-цепочки Binance (BSC), стоимостью $7,2 млн.
- Как и в том майском инциденте, хакер запустил атаку на флэш-кредит, чтобы опустошить пул ликвидности Impossible Finance с помощью поддельного токена.
- Сегодня Impossible Finance подвергся эксплойту на сумму $500 тыс. https://t.co/mzCPRluOjn.
- Тот же эксплойт, что и в случае с обменом бургерами: https://t.co/3PkVtn7Hi7.
- Если оригинальный проект взламывают, почему форки не реагируют?
- — Мудит Гупта (@Mudit__Gupta) 21 июня 2021 г.
Атака флэш-кредитов — это эксплойт, при котором хакер берет беззалоговый кредит у кредитного протокола и манипулирует рынком в свою пользу с помощью ряда технических уловок.
Компания WatchPlug, специализирующаяся на безопасности, сообщила, что хакер использовал уязвимость в смарт-контракте пула ликвидности для совершения многочисленных обменов IF, собственного токена Impossible Finance, на BUSD, а затем на BNB для погашения флэш-кредита.
Необычным, однако, является то, что свопы были сделаны «подряд по примерно одинаковой цене», что «обычно невозможно» из-за проскальзывания.
В 4 часа утра по Гринвичу, 21 июня, с Impossible Finance было украдено $0,5 млн.
Хакер сделал несколько свопов подряд примерно по одной и той же цене и слил LP, что обычно невозможно.
Как Impossible Finance делает невозможное возможным?
Читайте наш анализ:https://t.co/3r0p1dOFWz
— WatchPug (@WatchPug_) 21 июня 2021 г.
Среди других заметных жертв атак флэш-кредитования на смарт-цепочку Binance — PancakeBunny, которая потеряла до 45 миллионов долларов клиентских средств, и BeltFinance, которая подверглась эксплуатации на 6,2 миллиона долларов.
Команда, стоящая за протоколом Impossible Finance, подтвердила новость в Telegram и заверила, что компенсирует все средства, внесенные в пулы ликвидности до атаки.
В настоящее время все вознаграждения пулов ликвидности приостановлены, а пользователей просят не пополнять и не выводить средства для пар IF/BUSD и IF/BNB. Команда заявила, что работает с PeckShield, WatchPlug и «другими «белыми хатами» сообщества над расследованием ситуации и подготовит подробный отчет о событии».
Атака на Impossible Finance произошла менее чем через три недели после того, как протокол привлек $7 млн. в посевном раунде под совместным руководством True Ventures, CMS Holdings, Alameda Research и Hashed.
Проект изначально был построен на смарт-цепочке Binance, но, как утверждается, планирует расширить свою функциональность на Ethereum и Polygon.
Отзывы