De nieuwste gedecentraliseerde financiering (Defi) hack heeft geleid tot grote verliezen voor het op Binance Smart Chain gebaseerde Spartan Protocol.

In een rapport van 2 mei veiligheid firma PeckShield gedetailleerd het misbruik van het Spartaanse protocol dat de vorige dag plaatsvond. Het verklaarde dat het incident te wijten was aan een gebrekkige berekening van het liquiditeitsaandeel in het protocol, die werd benut om activa uit de pool te verwijderen.

Het voegde eraan toe dat deze specifieke hack het activasaldo van de pool verhoogde voordat hetzelfde aantal pooltokens werd verbrand om een ​​onnodig grote hoeveelheid onderliggende activa te claimen - in dit geval $ 30 miljoen.

De Rekt Blog, die details geeft over hacks en exploits in het DeFi-ecosysteem, heeft deze inval gerangschikt als de zesde hoogste op zijn scoreborden en gaat verder met "Het tijdperk van BSC-flitsleningen komt eraan."

Nog een DeFi postmortem

Rekt liep een postmortem op de aanval. Het ontdekte dat een flitslening was aangegaan PannenkoekRuil voor 100,000 ingepakte BNB (wBNB), te retourneren bij de laatste stap met 260 wBNB als flitslening.

De aanvaller wisselde vervolgens vijf keer wBNB naar het oorspronkelijke SPARTA-token van het protocol via de uitgebuite Spartaanse pool, waarbij elke keer 1,913 wBNB werd omgewisseld om 621,865 SPARTA-tokens te krijgen. Het proces werd nog eens tien keer voltooid om de activasaldo in de pool op te blazen.

Tokens werden vervolgens verbrand zodat de liquiditeit kon worden opgenomen en het proces werd herhaald totdat de flitslening van 100,260 wBNB was terugbetaald en de aanvaller er met meer dan $ 30 miljoen vandoor ging.

PeckShield legde uit:

“De kwetsbaarheid komt voort uit het feit dat de berekening van het liquiditeitsaandeel vraagtekens plaatst bij het huidige saldo, dat vervolgens kan worden opgeblazen voor manipulatie. Voor een juiste berekening moet gebruik worden gemaakt van cachebalans. "

De aanvaller gebruikte de 1inch-uitwisseling om alle tokens naar BTCB of BETH te ruilen, Spartan om SPARTA te dumpen en Nerve Finance om BTCB en BETH om te wisselen naar Anyswap-versies waar het het gestolen geld ophaalde.

Er zullen waarschijnlijk meer BSC-exploits komen

De Rekt Blog waarschuwde voor meer van dergelijke aanvallen:

“Een relatief eenvoudig verhaal van een ander gekopieerd protocol dat te ambitieus was met hun imitatie. Het tijdperk van BSC-flitsleningen staat voor de deur, en dit zal niet de laatste keer zijn dat we dergelijke aanvallen zien. "

Het concludeerde dat met zoveel ontwikkelaars die zich haasten om het Ethereum blauwe chips op Binance slimme ketting, zullen er zeker meer mogelijkheden zijn voor hackers met een scherp oog.

SPARTA-tokens werden in het weekend voor 40% gedumpt toen het nieuws over de inval de ronde deed.