Belt Finance è l'ennesimo protocollo DeFi su Binance Smart Chain (BSC) ad aver perso milioni di dollari a causa di un attacco hacker.
The Rekt Blog, sito web che pubblica i post-mortem degli exploit nel settore DeFi, spiega che l'assalitore ha sfruttato una falla nel modo in cui i vault del protocollo calcolano il valore del collaterale:
"È stata aggiunta un'altra tacca nell'ormai famigerata stagione dei flash loan exploit su BSC. Un altro fork di un fork è stato attaccato, permettendo a un hacker di intascare 6,3 milioni di dollari."
Complessivamente, afferma Rekt, su PancakeSwap sono stati effettuati otto flash loan attack, per un totale di 385 milioni di BUSD rubati.
Belt Finance utilizza un aggregatore di yield per offrire rendimenti passivi ottimali ai partecipanti. Elipsis è un exchange decentralizzato che consente lo scambio di stablecoin con basso slippage su Binance Smart Chain. Gli hacker hanno attaccato la strategia "Elipsis" del vault beltBUSD in quanto quella col minor numero di iscritti. Il vault beltBUSD distribuisce capitale anche su altri protocolli basati su BSC, come Venus, Alpaca e Fortube, per la generazione di yield.
Mudit Gupta, core developer di SushiSwap, ha pubblicato un thread su Twitter che esamina l'incidente, definendo questo flash loan exploit "uno degli hack più complessi".
I vault di Belt operano con un bilancio target per ogni strategia impiegata, ha spiegato Gupta. Quando un utente deposita denaro in un vault, il capitale viene assegnato alla strategia con meno iscritti; quando invece qualcuno preleva denaro dal vault, questo viene ritirato dalla strategia con più iscritti.
Gupta ha affermato che l'assalitore avrebbe sfruttato questo sistema per effettuare diverse transazioni su più strategie, gonfiando il valore delle sue pool prima di rimborsare i flash loan e in questo modo intascare un profitto di oltre 6 milioni di dollari. Gupta ha concluso:
"Fondamentalmente, il problema si è verificato perché Belt è integrato in maniera errata con Elipsis. Un problema simile si è verificato in Belt Finance anche il mese scorso, a causa di un'integrazione difettosa con Venus. Mi chiedo se Belt abbia qualche integrazione priva di bug."
Belt Finance si aggiunge pertanto alla lista in continua crescita di protocolli DeFi su Binance Smart Chain che hanno subito attacchi hacker. La scorsa settimana, il DEX BurgerSwap ha perso 7,2 milioni di dollari a causa di un exploit.
Cream Finance, bEarn, Bogged Finance, Uranium Finance, Meerkat Finance, SafeMoon, e Spartan Protocol: quest'anno tutti questi protocolli hanno subito attacchi su Binance Smart Chain. Binance si è ora rivolta alla società di blockchain intelligence CipherTrace per ottenere supporto analitico, nel tentativo di limitare ulteriori hack.