Falha no código faz com que BurgerSwap perca US$ 7,2 milhões em invasão

Em seu site, BurgerSwap alerta: “BurgerSwap acabou de passar por um ataque de empréstimo-relâmpago. Suspendemos conversões, acréscimo ou remoção de liquidez e geração de tokens BURGER para evitar mais prejuízos. Nossa equipe técnica está resolvendo o problema e irá publicar a solução depois. Mais detalhes serão compartilhados. Obrigado pela paciência” (Imagem: BurgerSwap)

Outra plataforma de 💥️finanças descentralizadas (DeFi) foi invadida e perdeu milhões de dólares: 💥️BurgerSwap, uma corretora descentralizada (DEX) desenvolvida no 💥️Binance Smart Chain (BSC).

Segundo 💥️Igor Igamberdiev, do The Block Research, um invasor utilizou 💥️empréstimos-relâmpago para invadir o protocolo e roubar US$ 7,2 milhões.

1/7

Another flash loan attack on a major DeFi protocol on BSC.

Today $7.2M was stolen from @burger_swap in 14 transactions.

Let’s see what’s happened👇 pic.twitter.com/gZQwiJGJ6X

— Igor Igamberdiev (@FrankResearcher) May 28, 2023

Empréstimos-relâmpago são empréstimos em blockchain onde grandes quantias de tokens são tomadas emprestado, utilizadas para algum propósito e pagas — tudo em uma só transação.

Porém, o ataque só foi possível porque falta uma linha no código de programação da corretora — uma que era realmente fundamental, segundo 💥️Hayden Adams, fundador da DEX 💥️Uniswap.

Adams tuitou que BurgerSwap é baseada no código da segunda versão da Uniswap, mas uma linha específica do código foi removida, “então poderia ser facilmente invadida”.

This thread sounds complicated. Here's what happened very simply.

Uniswap v2 fork removed the only line that enforces x*y=k from core:

So core could very trivially be drained.

This is the line that was removed:https://t.co/iN3nc1xMTm

iWoNDerWhYTHeyDiDtHAt https://t.co/B9TN3KP25U

— Hayden Adams 🦄 (@haydenzadams) May 28, 2023

Como consequência, o invasor conseguiu usar o protocolo para realizar duas transações quando só deveria ser capaz de realizar uma.

Então, em um exemplo, quando tomaram 6 mil wrapped BNBs (💥️WBNBs) emprestado, conseguiram usar os tokens para transformá-los em 8,8 mil WBNBs (algo no protocolo devia tê-lo impedido). Após pagar o empréstimo, sobraram alguns tokens.

Esse mesmo ataque foi usado diversas vezes, em 14 transações, para roubar uma variedade de tokens, incluindo WBNB, ether (💥️ETH), duas stablecoins e uma grande quantidade de tokens BurgerSwap (💥️BURGER).

“O prejuízo total é de aproximadamente US$ 7 milhões e vamos tentar cobrir todos as suas perdas”, 💥️tuitou a BurgerSwap, 💥️acrescentando: “entendemos sobre o que a comunidade mais se importa. O plano detalhado de compensação está a caminho”.

We understand what the community cares about the most. Detailed compensation plan is on the way. https://t.co/DnwRN33ENC

— BurgerSwap (@burger_swap) May 28, 2023

Segundo Igamberdiev, o hacker começou usando o 💥️protocolo Nerve para vender os tokens e transferi-los para o blockchain Ethereum.

Essa invasão acontece uma semana após o protocolo DeFi 💥️PancakeBunny, também desenvolvido no BSC, ter sido invadido e 💥️perder US$ 45 milhões de seu ecossistema.

Em março, o pool de “yield farming” Meerkat Finance, também no BSC, perdeu 💥️US$ 31 milhões — no que pode ter sido uma “puxada de tapete”.



O que você está lendo é [Falha no código faz com que BurgerSwap perca US$ 7,2 milhões em invasão].Se você quiser saber mais detalhes, leia outros artigos deste site.