@value_defi , Binance Smart Chain DeFi projesi, dün haclendi. Toplam bu işlemde kayıp 12 milyon $ (3195 Eth), geçen haftada 6 mio $ kaybetmişlerdi başka bir attack da.
Gelin işlemin teknik detaylarına bakalım 👇👇
Gelin işlemin teknik detaylarına bakalım 👇👇
1- Saldırıya uğrayan likidite havuzları ;
- vBSWAP/WBNB (70/30)
- gvVALUE/BUSD (98/2)
- BDO/BUSD (80/20)
- vBSWAP/BUSD (98/2)
- FARM/WBNB (70/30)
- IRON/STEEL (60/40)
- BDO/vBSWAP (70/30)
- BAC/BUSD (80/20)
- BASv2/WBNB (60/40)
- vBSWAP/WBNB (70/30)
- gvVALUE/BUSD (98/2)
- BDO/BUSD (80/20)
- vBSWAP/BUSD (98/2)
- FARM/WBNB (70/30)
- IRON/STEEL (60/40)
- BDO/vBSWAP (70/30)
- BAC/BUSD (80/20)
- BASv2/WBNB (60/40)
2- Havuzlardan Çalısan tokenlar ;
- 15k BNB
- 2.7k FARM
- 1.7k BASv2
- 8.5M BDO
- 68.3k BUSD
- 41.4k MDG
- 945k VBOND
- 1.2M BAC
- 11k FIRO
- 15k BNB
- 2.7k FARM
- 1.7k BASv2
- 8.5M BDO
- 68.3k BUSD
- 41.4k MDG
- 945k VBOND
- 1.2M BAC
- 11k FIRO
3- Tüm token lar en son Eth a takas edildi ve Eth aları cuzdanına çekti saldırgan
Akıllı sözleşmenin kollarında ki hata tam olarak şu : 👇👇
Akıllı sözleşmenin kollarında ki hata tam olarak şu : 👇👇
4- Normalde likidite havuzlarında çiftler aynı tutarda olmalı , örn: BNB -CAKE havuzuna likidite sağlamak isterseniz ; 100 uslık Bnb + 100 usdlık cake yatırılması gerekiyor
👇👇
👇👇
5-Saldıyı herkesin anlayabilecegi şekilde anlatmaya çalışacağım ; BNP-CAKE havuzu hedef, ilk likidite havuzuna en düşük işlem tutarı olan sadece 0.00000000000001 usd lık CAKE gönderiyor ve bu tutar formül hatası nedeniyle işleme alınıyor ve havuzun %50 bütünlüğü bozuluyor
6-Daha sonrada ; Cake paritesini geri almak istediginde , dogal olarak cake + bnb yi alacaktır. Bu işlemleri defalarca yapıp dex borsasının likiditeleri patlatmış. Tabi işlemdeki degerler farklı ben sadece anlaşılması için bu degerli verdim.
7-Bunu "Bancor formülü" nün yanlış kullanması nedeniyle yaptığı görülüyor. Bancor formülü token larda bir takas protokolü (Bancor protokol), matematiksel işleyişi gösteriyor, Ilgilenenler icin bancor förmülü dökümanı 👇👇
google.com.tr/url?sa=t&sourc…
google.com.tr/url?sa=t&sourc…
8- Buda hatalı kodlamanın solidity detayi (Akıllı sözleşmeler Solidity diliyle yazılıyor)
9- Uniswap %50 - %50 olmayan havuzları desteklemedigi için, bsc ağında Bankor Formülü kullanılır, aşağıdaki işaretli kodlarda hata olduğu açıklandı
Bu hata copy paste olan bsc ağlarında olabilir, çok dikkatli olmak gerekiyor 👇👇
Bu hata copy paste olan bsc ağlarında olabilir, çok dikkatli olmak gerekiyor 👇👇
10- Kodlardaki “_baseN <_baseD,” hatanın kaynağı, teknik olarak ilgilenenler aşagıda görebilirsiniz. Çifttek ikinci token ın bakiyesi, takas öncesine göre daha az olduğunda bu fonksiyon çalışmaz.
Buradaki valueDefi Dex inin kullandığı Bancor Protokolünün github daki kodları;
Buradaki valueDefi Dex inin kullandığı Bancor Protokolünün github daki kodları;
11-Bu protokol tüm bsc projelerinde kullanılıyor,Zaten protokol ekteki linkte 647 satırda bunu belirtmiş, yani %50-%50 likidite sağlanmazsa bu formül işlemez demişler.
github.com/bancorprotocol…
github.com/bancorprotocol…
12-Olay çok daha komplike, daha detay merak edenler yazabilir
Bu hatanın nedeni ; Proje ekibinin başka projelerden klonladıgı kopyala yapıştır kodlarla çalışırken entegrasyonda hata yaptığı, gerekli testleri yapmadığını gösteriyor
Bu hatanın nedeni ; Proje ekibinin başka projelerden klonladıgı kopyala yapıştır kodlarla çalışırken entegrasyonda hata yaptığı, gerekli testleri yapmadığını gösteriyor
13 -Smart Contract- Akıllı sözleşmeler dünyasına hoşgeldiniz 😃🗽
Bu dünyada işler böyle ilerliyor, hata yapma lüksünüz yok. Solidity Developer larının maaşları 250K $dan artık bu olaylar arttıkça 500K $ lara çıkacaktır 😉
Bu dünyada işler böyle ilerliyor, hata yapma lüksünüz yok. Solidity Developer larının maaşları 250K $dan artık bu olaylar arttıkça 500K $ lara çıkacaktır 😉
14 - Şu soru akıllara gelebilir. Bu platformun : Audit raporu yokmu?, bilmeyenler icin Audit nedir?:
Akıllı sözleşme güvenliği, tasarım sorunlarını, koddaki hataları veya tüm açıklarını düzeltmek için bir blockchain uygulamasının akıllı sözleşmelerinin kapsamlı bir analizidir.
Akıllı sözleşme güvenliği, tasarım sorunlarını, koddaki hataları veya tüm açıklarını düzeltmek için bir blockchain uygulamasının akıllı sözleşmelerinin kapsamlı bir analizidir.
15 - Evet var 2 ayrı firmadan ama onlarda yaptıkları açıklamada biz LP havuzlarını denetlemedik diye açıklama yaptılarki aslında ne kadar güvenliğin smart contractlarda ciddi bir problem olduğunu birkez daha görmüş olduk, Audite tek başına güvenmeyin.
valuedefi.io/audit
valuedefi.io/audit
• • •
Missing some Tweet in this thread? You can try to
force a refresh
