Size: a a a

2021 May 28

s

stsoen in Sherlock Club
BurgerSwap пополнили копилку эксплойтов на Binance Smart Chain.
Тезисно.

1. BurgerSwap - AMM на BSC. Является копикей Uniswap с эфира.

2. Хацкер использовал для атаки flashloan*:
- Выпустил свой токен Fake Coin
- Создал торговую пару Face Coin - Burger
- Прожил маршрут обмена  $BURGER -> Fake Coin -> $WBNB и таким образом расшатал цену
-  Развернул в обратную сторону, нарастив бесплатные $WBNB

3. Фаундер Uniswap'а пояснил из-за чего весь сыр-бор.
Когда чуваки форкали юнисвап, они убрали одну строчку кода. Важную строчку.
Как итог - атака стала возможна.

4. Атаки через "быстрые займы" не новы и проходились по сети эфира с момента появления
- https://t.me/notothemoon/801
- https://t.me/notothemoon/804

Разъяснения от BurgerSwap: https://twitter.com/burger_swap/status/1398161871778115586

*Flashloan - вид займа средств, когда можно взять в долг без обеспечения. Обязательное условие - закрыть задолженность перед протоколом в той же транзакции, в которой был взять долг.

0Y | Чат | Обратная связь
источник

s

stsoen in Sherlock Club
Вкратце как хакнули бургеры 👆
источник

АР

Андрей Романов... in Sherlock Club
Вообще, это не сложно решается, анти-кит система - размер одной транзакции не больше 5% от общего объема ликвидности.
источник

АР

Андрей Романов... in Sherlock Club
Хотя, судя по всему, это тоже научились обходить...
источник

s

stsoen in Sherlock Club
А толку? С нескольких кошельков ебануть и норм
источник

АР

Андрей Романов... in Sherlock Club
Да, я уже понял, что там другая уязвимость
источник

s

stsoen in Sherlock Club
Теоретически можно чем-то наподобие слиппеджа решить, но такая херня может и к обратному эффекту привести - хакать не будут, но насрать могут прилично
источник

Q

Qwerty in Sherlock Club
У форков понятно что в основном дебилы безрукие кодеры.

А вот что думаешь про comp, curve, aave, yfi? Там возможны такие атаки? У yfi же тоже был взлом не так давно.

Или может возможны такие атаки, которых еще не было как раз?
источник

s

stsoen in Sherlock Club
Так в компаунде было уже вроде
источник

s

stsoen in Sherlock Club
И это не взломы, а игры с ликвидностью
источник

Q

Qwerty in Sherlock Club
Друзья, а кто-то юзал makerdao?
Я не понимаю, там когда минтишь dai, тебе надо за него % отдавать или нет?
источник

m

mezoantropo in Sherlock Club
Правильно я понимаю что если подверждение блоков быстрое то в принципе флэшллун не получится если каждый элемент в займе искуственно подзамедлить?
источник

s

stsoen in Sherlock Club
Ну чисто технически ведь фронтранинг организован тупо на том, чтобы успеть перебитб транзу с более маленьким газом
источник

s

stsoen in Sherlock Club
Так что там скорее вопрос да, скорости прихождения транз и отработки скриптов
источник

r

rok in Sherlock Club
если б дебирс эмитировал - то норм, стартап - нет
источник

A

AlexP in Sherlock Club
русский стартап - нет, нет, нет
источник
2021 May 29

A

Andrey in Sherlock Club
Подпишись на Базовый блок(там часто обсуждают очень интересные технарские темы), у них даже чат был очень технарский(но сейчас не знаю жив ли чат).
источник

TL

Toma Laverov in Sherlock Club
Написал фанбой юнит протокола)
источник

s

stsoen in Sherlock Club
Ну так там сам артем бантик благословил
источник

p

priapus in Sherlock Club
Это другое
источник