Lo primero que hay que entender sobre el truco de PancakeBunny es que tuvo lugar el 19 de mayo, cuando el pirata informático se hizo con alrededor de $ 45 millones en un exploit de préstamo flash, y hundió el precio de los tokens BUNNY en un 96% de $ 220 a alrededor de $ 10 en un día. Unas seis semanas después, solo se había recuperado a unos 15 dólares.
Lo segundo que hay que entender es que los desarrolladores de Bunny Finance aparentemente no aprendieron muy bien la lección. El 16 de julio, la nueva bifurcación de la cadena de bloques Polygon (aunque planificada desde hace mucho tiempo) de la compañía, PolyBunny, también se vio afectada, con un ataque de préstamo relámpago que generó $ 2.1 millones en POLYBUNNY, lo que llevó sus tokens de $ 10 a menos de $ 2.
Lo que significa que a pesar de las asombrosas pérdidas de BNB y BUNNY, el peor golpe para los tenedores de monedas del creador de mercado automatizado (AMM) y el intercambio descentralizado de agricultura de rendimiento (DEX) provino del daño causado a las caídas de precios de los dos tokens del proyecto.
Los ataques a PancakeBunny y PolyBunny son solo los últimos de un número creciente de hacks en proyectos DeFi, según la firma líder de inteligencia y análisis de blockchain, CipherTrace. En un informe de mayo de 2021, la empresa descubrió que en los primeros cuatro meses del año, el 70% de todos los principales hacks y fraudes de criptografía tenían como objetivo proyectos de finanzas descentralizadas como estos.
Peor aún, los fondos perdidos en estas dos categorías a fines de abril totalizaron $ 239 millones, en comparación con $ 170 millones en todo 2020. Y eso fue antes de los $ 45 millones perdidos por PancakeBunny. Agregando el ataque del protocolo Spartan de $ 30 millones en mayo y varios ataques más pequeños, incluidos BurgerSwap, AnySwap, ChainSwap (x2), THORChain y, por supuesto, PolyBunny, y las pérdidas superan los $ 300 millones en lo que va de año.
Anatomía de una hazaña
La versión corta de lo que le sucedió a PancakeBunny es que sufrió un ataque de préstamo relámpago. Tenga en cuenta que un préstamo flash debe tomarse prestado y reembolsarse en una sola transacción, que es lo que sucedió aquí.
El problema es que, si bien los préstamos urgentes deben tomarse prestados y reembolsarse en una sola transacción, no están garantizados, lo que significa que se pueden tomar prestados montos enormes que mueven el mercado. El ataque PancakeBunny usó esto con gran efecto.
Primero, el hacker pidió prestados más de $ 700 millones en Binance Coin (BNB) de siete grupos de préstamos de PancakeBunny, así como casi $ 3 millones en Tether (USDT) de otra fuente. Usaron esto para manipular el precio de BNB usando un error en el grupo de liquidez BNB-USDT de PancakeBunny, lo que les permitió acuñar casi siete millones de BUNNY en un proceso complejo de seis etapas (que Bunny Finance detalla aquí). Esto fue objeto de dumping por alrededor de 2,4 millones de BNB, lo que provocó que el precio de BUNNY se disparara.
Después de pagar los préstamos flash, el pirata informático se quedó con 114,631 BNB por un valor aproximado de $ 45 millones.
El exploit aquí fue el resultado de una falla en el protocolo PancakeBunny que determinaba la cantidad de tokens de gobernanza BUNNY que se acuñaban en función de la cantidad de BNB en comparación con la cantidad de USDT en el grupo.
Haciendo restitución
El 17 de junio, Team Bunny anunció un plan de recuperación posterior al ataque centrado en inyectar “valor nuevo significativo” en el ecosistema PancakeBunny, a pesar de los desafíos del mercado bajista de criptografía más amplio.
Específicamente, los desarrolladores anunciaron planes para acelerar el “diseño y la hoja de ruta del producto para que pueda poner todos los elementos principales en línea en el próximo mes (en lugar de hasta fin de año como era nuestra expectativa inicial en climas más favorables”). ). “
Había cuatro de estos, comenzando con una bifurcación del protocolo PancakeBunny BSC en nuevas cadenas de bloques. La primera de estas bifurcaciones sería Polygon, que usaría tokens polyBUNNY.
El siguiente fue el protocolo de préstamos Qubit (utilizando nuevos tokens QBT), seguido de multiplexores de doble agricultura y PancakeBunny Safe Swap, que no admitirán préstamos flash.
El objetivo era mantener el valor de la plataforma, aumentar el valor total bloqueado en el protocolo y apuntalar a BUNNY.
Más allá de eso, Team Bunny ideó una forma de compensar a los poseedores de BUNNY por sus pérdidas el 20 de mayo. Con el valor de BUNNY entonces en alrededor de $ 39 millones, se anunció una nueva ficha, Platinum BUNNY, o pBUNNY, así como un grupo de compensación que consiste en tarifas de desempeño en el futuro y una donación de las propiedades de Bunny de los desarrolladores, entre otras cosas. Y se anunció un programa “agresivo” de recompra y quema para contrarrestar el efecto de los nuevos tokens.
Cinco semanas después llegó Mound Vault, un depósito de tokens BUNNY y polyBUNNY donados por el equipo, tokens QBT y ganancias de proyectos futuros. Utilizaba tokens MND.
Desafortunadamente…
Post post mortem
El 17 de julio, el blog PancakeBunny Medium volvió a tener la palabra “post-mortem” en el título.
Se lanzó con éxito un ataque de préstamo relámpago contra Polygon PancakeBunny. Esta vez, el atacante utilizó un préstamo flash de 48 millones de dólares para acuñar 2,1 millones de tokens PolyBUNNY, que se vendieron por Ether y se utilizaron para pagar el préstamo, lo que le dio al atacante 1,287,1 ETH, por un valor de unos 2,4 millones de dólares.
El precio de PolyBunny bajó de alrededor de $ 10 a alrededor de $ 2.
Los desarrolladores de Team Bunny tosieron $ 2.4 millones en sus propios tokens MND.
Yendo más lento
En respuesta al segundo truco, Bunny Finance anunció el 21 de julio que estaba “ralentizando el ritmo” de los lanzamientos de sus productos para hacer de la seguridad “su máxima prioridad”.
Si bien el “enfoque anterior del protocolo era expandir el ecosistema PancakeBunny e inyectar valor en la comunidad PancakeBunny lo más rápido posible para acelerar la recuperación de nuestros servicios”, Team Bunny dijo una revisión extensa de los eventos que llevaron al segundo exploit lo obligó a revisar los planes de desarrollo e implementación para centrarse en crear “el régimen de seguridad más fuerte en DeFi”.
Esto incluiría todos los lanzamientos nuevos que liberan contratos inteligentes en redes de prueba, la creación de grupos de recompensas “agresivas” y la realización de auditorías “completas” antes del lanzamiento de la red principal. Más allá de eso, se completará una revisión del código de la segunda capa antes de que se lancen productos nuevos.
“Este proceso puede agregar semanas a la hoja de ruta del lanzamiento, y lamentamos profundamente que nuestro deseo de brindar valor al ecosistema en un marco de tiempo extremadamente ajustado nos haya llevado a elegir realizar auditorías y el lanzamiento beta de Polygon.PancakeBunny simultáneamente”.
BSC en la mira
Los ataques de préstamos flash son un problema creciente para Binance Smart Chain, o BSC, una cadena de bloques “asesina de Ethereum” que ha experimentado un gran crecimiento recientemente.
CipherTrace, por su parte, anunció el soporte analítico para BSC el 27 de mayo.
Dos días después, el 29 de mayo, un hilo en la cuenta oficial de Twitter del BSC advirtió: “Hay> 8 hacks de #flashloan recientemente, creemos, un hacker bien organizado está apuntando a #BSC ahora. Es [un] momento muy desafiante para la comunidad de BSC “.
Continuó solicitando DApps que lo usaran para trabajar con compañías de auditoría para probar la seguridad y, si son bifurcaciones, para “verificar dos y tres veces los cambios de [la] versión original”.
El hilo también sugirió un monitoreo en tiempo real preparado para pausar el protocolo a la primera señal de problema, crear un plan de contingencia en el peor de los casos y configurar recompensas por errores.
