Финансовый Портал

Хакер вывел $6,2 млн из платформы Belt Finance на базе DeFi-экосистемы Binance Smart Chain (BSC).

1/8

New weekend - a new attack on BSC DeFi protocol.

Today $6.2M in BUSD was stolen from Belt Finance in 8 transactions.

Below is what happened pic.twitter.com/1URb9sJud0

— Igor Igamberdiev (@FrankResearcher) May 29, 2021

«Новый уикенд — новая атака на DeFi-протокол на базе BSC. Сегодня из Belt Finance украдено $6,2 млн в BUSD при помощи восьми транзакций», — написал исследователь The Block Игорь Игамбердиев.

По его наблюдениям, злоумышленник занял $385 млн в BUSD на платформе PancakeSwap. После этого он депонировал $10 млн в стратегию bEllipsisBUSD.

2/8

Each transaction looked like this:

1) Used 8 flash loans on $385M BUSD from PancakeSwap

2) Deposited 10M BUSD in bEllipsisBUSD strategy (only for the first transaction, where it was the 'Most Insufficient Strategy') pic.twitter.com/JRgDSgub6F

— Igor Igamberdiev (@FrankResearcher) May 29, 2021

Хакер задействовал $187 млн в BUSD для стратегии bVenusBUSD и повторил эти шаги более семи раз. Затем обменял $190 млн в BUSD на $169 млн в USDT через платформу Ellipsis.

3/8

3) Deposited 187M BUSD to bVenusBUSD strategy ('Most Insufficient Strategy')

❗️The following steps are repeated seven+ times

4) Swapped 190M BUSD to 169M USDT through Ellipsis pic.twitter.com/HTwrhkuuu6

— Igor Igamberdiev (@FrankResearcher) May 29, 2021

После этого злоумышленник вывел еще BUSD из стратегии bVenusBUSD и обменял $169 млн в USDT на $189 млн в BUSD, используя платформу Ellipsis. Потом он депонировал BUSD в стратегию bVenusBUSD.

4/8

5) Withdrew more BUSD from bVenusBUSD strategy ('Most Overlooked Strategy')

6) Swapped 169M USDT to 189M BUSD through Ellipsis

7) Deposited BUSD to bVenusBUSD strategy ('Most Insufficient Strategy') pic.twitter.com/LQXbo1S42N

— Igor Igamberdiev (@FrankResearcher) May 29, 2021

В завершение хакер погасил мгновенные займы и вывел прибыль.

5/8

❗️End of repetition

8) Repaid flash loans and withdrew profit pic.twitter.com/sPODKgppOc

— Igor Igamberdiev (@FrankResearcher) May 29, 2021

Игамбердиев пояснил, что цена beltUSD зависит от суммы балансов всех стратегий на платформе. Следовательно, манипулирование этими стратегиями означает возможность влиять на цену актива платформы Belt Finance.

7/8

However, if there is a way to manipulate other strategies, it is possible to manipulate the beltBUSD price.

Apparently, by buying and selling BUSD, the attacker manipulated this price with a bug in the bEllipsisBUSD strategy balance calculations. pic.twitter.com/WyMLWDChJ9

— Igor Igamberdiev (@FrankResearcher) May 29, 2021

«Судя по всему, покупая и продавая BUSD злоумышленник манипулировал его ценой, используя баг в расчете баланса стратегии bEllipsisBUSD».

8/8

All stolen BUSD was converted to 2680 anyETH ($6M) via 1inch v3 and partially withdrawn to Ethereum.

1463 ETH has not left the cross-chain bridge at the moment. pic.twitter.com/3luhDoLTFc

— Igor Igamberdiev (@FrankResearcher) May 29, 2021

«Все украденные BUSD были конвертированы на платформе 1inch v3 в 2680 anyETH стоимостью $6 млн. Часть средств переведена в Ethereum. На данный момент 1463 ETH не покинули кроссчейн-мост», — отметил Игамбердиев.

Цена токена BELT за последние сутки упала на 27,6%, согласно CoinGecko. Платформа Belt Finance занимает второе место в рейтинге Defistation, учитывающего стоимость задействованных в протоколах активов.

Данные: Defistation.

Ранее ForkLog сообщал, что хакер обрушил на 80% цену токена DeFi-проекта PancakeBunny. Для манипуляции курсами в парах USDT/BNB и BUNNY/BNB он занял средства на PancakeSwap.


Подписывайтесь на канал ForkLog в YouTube!

Источник _Биткоин, блокчейн, криптовалюты, финтех - ForkLog