Les attaques de prêt flash sur les protocoles de financement décentralisé (DeFi) se sont multipliées et rapides au cours des derniers mois. La dernière victime à son tour est Bogged Finance.
Dans un post mortem publié le 23 mai, la société de sécurité PeckShield a détaillé l’attaque qui a conduit un acteur malveillant à gagner 3,6 millions de dollars.
Bogged Finance est une plate-forme DeFi qui permet aux utilisateurs de rechercher et de passer des commandes pour tout jeton sur Binance Smart Chain en utilisant une plate-forme de commande limite qui tire parti de la liquidité de PancakeSwap.
Lors d’une attaque économique similaire à celle qui a ciblé PancakeBunny la semaine dernière, un pirate informatique a réussi à gonfler le solde des jetons BOG avant de les vendre sur le marché pour un bénéfice net.
PeckShield a expliqué que l’incident était dû à un bogue qui permet à l’attaquant d’augmenter le solde via l’auto-transfert.
Les protocoles DeFi sous le feu
L’exploit découle d’un bug dans le contrat intelligent de jeton qui est conçu pour être déflationniste en facturant 5% du montant transféré. Sur ces 5%, 1% est brûlé et 4% sont considérés comme des frais pour le jalonnement des bénéfices.
Le contrat ne facture que 1% du montant transféré mais gonfle toujours les 4% en tant que profit de mise. Profitant de cela, le pirate a effectué plusieurs swaps flash afin d’effectuer à plusieurs reprises des auto-transferts pour gonfler les bénéfices de jalonnement.
Neuf flash-swaps, très similaires aux prêts flash, ont été utilisés pour ajouter des liquidités au pool wBNB / BOG. Chaque swap a généré 47 770 BOG consommant 88 159 BNB emballés avec 83 440 jetons de pool de liquidité frappés.
Ces jetons LP ont été déposés dans le contrat de jetons BOG pour la participation aux bénéfices. L’attaquant a effectué 434 auto-transferts avec un montant total de transfert de 18,74 millions de BOG, ce qui a entraîné une augmentation du solde de 151 000 BOG en raison du bogue du code du contrat. L’attaquant a vendu le BOG sur le marché, remboursé les prêts flash et dégagé un bénéfice de 3,6 millions de dollars.
Le protocole a annoncé qu’il migrerait vers un nouveau contrat et prévoit de brûler 7,5 millions de jetons BOG dans le processus.
«Nous allons ensuite déposer les jetons de liquidité à leurs propriétaires légitimes, puis rendre les $ BOG légitimement détenus et achetés à leurs propriétaires.»
Le prix du jeton BOG s’effondre
Sans surprise, avec environ la moitié de la liquidité retirée du protocole, son prix symbolique a plongé à zéro dimanche selon CoinGecko. Avant l’effondrement, il se négociait à environ 2 $.
Bogged Finance a expliqué avoir lui-même supprimé les liquidités restantes en vue de la migration vers le nouveau contrat et du rééquilibrage de l’offre.
Avertissement
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d’information générale uniquement. Toute action que le lecteur entreprend sur les informations présentes sur notre site Web est strictement à ses propres risques.
Auteur/autrice
