币安智能链(BSC)的DeFi收益聚合器PancakeBunny本(20)日惊传遭骇客攻击,据外媒《CoinTelegraph》报导,骇客最终到手约697,000BUNNY和114,000BNB,以当时BNB价格296美元计算,平台损失超过2亿美元。
PancakeBunny团队推文指出,这是一起闪电贷攻击,并简单说明做案手法:
1.骇客使用PancakeSwap借入了大量BNB
2.骇客借此操纵USDT/BNB以及BUNNY/BNB价格
3.结果通过这笔闪电贷得手大量BUNNY
4.骇客将所有BUNNY向市场上卖出,导致BUNNY暴跌
5.骇客再通过PancakeSwap清偿BNB
据PooCoinCharts数据,BUNNY价格先从150美元涨至最高242美元,15分钟内暴涨61.3%。接着立刻又崩跌至10美元以下,最低甚至触及1.1 ,15分钟跌幅超过99%。至截稿前BUNNY报价27.28美元。
而Defistation统计显示,PancakeBunny锁仓量(TVL)也自昨天的36亿美元流失62.7%以上,至截稿前TVL仅剩13.4亿美元。BSC生态的DeFi项目TVL总额也自昨天的390亿美元大降30%,至截稿前报272.9亿美元。
后续处理
PancakeBunny因此发起了为期24小时的社群投票,授权开发团队优化BUNNY释出量以及该协议的其他参数,以便即时处理目前的市场动荡。
随后他们更表示发文强调,没有任何资金库遭到攻击,单纯是经济模型方面的漏洞。接着更新了该起攻击的处理进度:
1.我们已经确定了漏洞利用的性质及其发生方式。
2.此外,我们正在拟定补偿计划。
3.出入金功能被暂时冻结,直到我们提高安全性为止。
至截稿前PancakeBunny最新公告的消息是,在出金服务恢复后,用户将不必支付30%的绩效费用,因为铸币功能已经被关闭,以利顺畅出金。也就是用户将暂时只拿得到其入金+资金池利润,不包含任何BUNNY代币。另外提到有些文章的损失估计数字并不准确。
不过PancakeSwap本日推文澄清,该平台并没有传统借贷服务,其闪电贷是预设接到Uniswap v2协议平台,所以PancakeBunny骇客的攻击自始至终都和他们无关。并强调PancakeSwap的平台币CAKE也不会受到影响。
