Pancake Bunny, kripto para sektöründe yaşanan genel düzeltme yetmezmiş gibi bir de yatırımcılara flash loan saldırısı haberi verdi. Merkezsiz finans projelerinin başına sık sık geldiği bilinen flash loan saldırılarının bu seferki adresi BUNNY oldu ve fiyat kısa sürede %95 geriledi.
BUNNY Saldırısında Flash Loan İzleri
Flash loan saldırısının aslında merkezsiz finans protokollerinde teminat karşılığı çeken kredilere dayandığı biliniyor. Kullanıcılar teminat olarak gösterdikleri kripto paranın fiyatını manipüle ederek farklı sonuçlar doğurabiliyor ve BUNNY saldırısında da tam olarak bu yaşandı.
Kripto para güvenlik denetim şirketi Peck Shield tarafından yayınlanan gönderide bunun PancakeBunny’nin kullandığı AMM tabanlı oracle ile ilgili bir yazılımsal hatadan da kaynaklandığı belirtiliyor. Bu açık olmasaydı saldırganlar ağa karşı flash loan saldırısı yapamazdı. Saldırganların “VaultFliptoFlip” kodunun ödül hesaplama mekanizmasındaki bir hatadan faydalanarak bunu yaptıkları belirtiliyor. Sürecin sonunda ise 6,97 milyon adet BUNNY (o anki değeri ile 1 milyar doların üzerinde) oluşturuldu ve saldırgan bunun devamında elindeki BUNNY’leri sattı.
BUNNY Saldırısının Adımları
PeckShield açıklamasında ise saldırının toplamda 5 adımda gerçekleştiği belirtilmekte:
- Saldırgan 8 farklı flash loan çekti ve bunlar sırasıyla WNBN/CAKE havuzundan 1,05 milyon WBNB, WBN/BUSD havuzundan 522.520 WBNB, WBNB/BTCB havuzundan 133.500 WBNB, WBNB/SAFEMOON havuzundan 241.020 WBNB, WBNB/BELT havuzundan 98.519 WBNB, WBNB/DOT havuzundan 66.290 WBNB ve son olarak Fortube Bank üzerinden 2,96 milyon ade USDT.
- Saldırgan 2,96 milyon USDT ve 7886 WBNB’yi WBNB+BUSDT havuzuna likidite olarak ekleyip devamında 144.450 LP tokeni elde etti.
- Saldırgan 2,32 milyon adet WBNB’yi, 3,83 milyon BUSDT ile değiştirdi ve ilgili havuzun ciddi bir WBNB rezervine sahip olmasını sağladı. Daha sonrada bunu havuz tokenlerinin değerini etkilemek için kullandı.
- Saldırgan, getReward () kodunu kullanarak VaultFliptoFlip kodu üzerinden ödülünü elde etmek istedi. LP tokeninin değeri yüksek olduğu için de saldırgan bir anda 6,97 milyon adet BUNNY elde edebildi.
- Daha sonra elde edilen BUNNY’lerin hepsini satarak bir kısmıyla kredi borçlarını ödedi ve 200 milyon dolarlık kazanç elde etti.
Flash Loan saldırılarının aslında fiyatı manipüle etmek üzerinden gerçekleştirildiği bu durumda da net bir şekilde görülmüş oldu. Tabii ki saldırganın bir anda 8 kredi çekmesi ve bunu tıkır tıkır devam ettirmesi ise olayın çok önceden planlandığını göstermekte.
Binance Smart Chain tabanlı BUNNY fiyatı ise bu olayın devamında %95 çakıldı ve 9 dolara çekildi.
