DeFi-протокол на BSC Impossible Finance потерял 500 тыс. долларов во время флешлоан-атаки

Децентрализованный финансовый (DeFi) протокол Impossible Finance потерял до $500 000 пользовательских средств во время сегодняшней атаки на флэш-кредит. Атака на пул ликвидности Impossible Finance произошла примерно в 4:40 утра по Гринвичу 21 июня и привела к потере 229,84 ETH (около $0,5 млн на тот момент).

Мудит Гупта, основной разработчик SushiSwap, сказал, что это был тот же тип уязвимости, который использовался в недавней атаке на BurgerSwap, другой протокол, построенный на основе смарт-цепочки Binance (BSC), стоимостью $7,2 млн.

• Как и в том майском инциденте, хакер запустил атаку на флэш-кредит, чтобы опустошить пул ликвидности Impossible Finance с помощью поддельного токена.
• Сегодня Impossible Finance подвергся эксплойту на сумму $500 тыс. https://t.co/mzCPRluOjn.
• Тот же эксплойт, что и в случае с обменом бургерами: https://t.co/3PkVtn7Hi7.
• Если оригинальный проект взламывают, почему форки не реагируют?
• — Мудит Гупта (@Mudit__Gupta) 21 июня 2021 г.

Атака флэш-кредитов — это эксплойт, при котором хакер берет беззалоговый кредит у кредитного протокола и манипулирует рынком в свою пользу с помощью ряда технических уловок.

Компания WatchPlug, специализирующаяся на безопасности, сообщила, что хакер использовал уязвимость в смарт-контракте пула ликвидности для совершения многочисленных обменов IF, собственного токена Impossible Finance, на BUSD, а затем на BNB для погашения флэш-кредита.

Необычным, однако, является то, что свопы были сделаны «подряд по примерно одинаковой цене», что «обычно невозможно» из-за проскальзывания.

В 4 часа утра по Гринвичу, 21 июня, с Impossible Finance было украдено $0,5 млн.

Хакер сделал несколько свопов подряд примерно по одной и той же цене и слил LP, что обычно невозможно.

Как Impossible Finance делает невозможное возможным?

Читайте наш анализ:https://t.co/3r0p1dOFWz

— WatchPug (@WatchPug_) 21 июня 2021 г.

Среди других заметных жертв атак флэш-кредитования на смарт-цепочку Binance — PancakeBunny, которая потеряла до 45 миллионов долларов клиентских средств, и BeltFinance, которая подверглась эксплуатации на 6,2 миллиона долларов.

Команда, стоящая за протоколом Impossible Finance, подтвердила новость в Telegram и заверила, что компенсирует все средства, внесенные в пулы ликвидности до атаки.

В настоящее время все вознаграждения пулов ликвидности приостановлены, а пользователей просят не пополнять и не выводить средства для пар IF/BUSD и IF/BNB. Команда заявила, что работает с PeckShield, WatchPlug и «другими «белыми хатами» сообщества над расследованием ситуации и подготовит подробный отчет о событии».

Атака на Impossible Finance произошла менее чем через три недели после того, как протокол привлек $7 млн. в посевном раунде под совместным руководством True Ventures, CMS Holdings, Alameda Research и Hashed.

Проект изначально был построен на смарт-цепочке Binance, но, как утверждается, планирует расширить свою функциональность на Ethereum и Polygon.