L'ecosistema DeFi di Binance Smart Chain (BSC) ha assistito a un secondo flash loan exploit, appena una settimana dopo il caso PancakeBunny. Questo nuovo attacco ha portato al furto di 3 milioni di dollari, circa metà della liquidità complessiva, dalla piattaforma Bogged Finance. Il team ha confermato l'incidente in data 23 maggio, consigliando agli utenti di non acquistare il token fino alla risoluzione del problema.
Gli sviluppatori hanno identificato e mitigato l'exploit in appena 45 secondi, o 15 blocchi, grazie a un meeting online tenuto prontamente al momento dell'attacco. Ciononostante, l'hacker è riuscito a sottrarre metà dei 6 milioni di dollari presenti all'interno del protocollo: questo ha fatto crollare il prezzo del token BOG da 1,94$ a 0,0003$.
Bogged Finance permette agli utenti di piazzare limit order su qualsiasi token presente su Binance Smart Chain. Il team ha condiviso i dettagli dell'attacco in un post su Medium:
"L'assalitore è stato in grado di utilizzare i flash loan per sfruttare una falla nel sistema di staking dello smart contract di BOG, manipolando le staking reward e causando un'inflazione dell'offerta, senza che venisse addebitata o bruciata alcuna transaction fee."
Secondo il team, il limite di transazione di 47.500 BOG avrebbe rallentato l'assalitore e potenzialmente limitato i danni. Nei 45 secondi precedenti alla rimozione delle transaction fee da parte degli sviluppatori, l'hacker è riuscito ad effettuare 11 transazioni, ottenendo così 11.358 BNB.
Il team sta ora lavorando alla migrazione della liquidità verso un nuovo contratto "usando lo stesso exploit utilizzato dall'assalitore". Verrà presto lanciata una versione aggiornata dello smart contract su Binance Smart Chain.
Il team assicura che tutti gli utenti danneggiati dall'attacco hacker saranno rimborsati tramite airdrop: "Se hai pagato per i tuoi BOG, il token nativo della piattaforma, sei al sicuro."
La scorsa settimana abbiamo assistito a un incidente simile: il popolare protocollo DeFi PancakeBunny ha subito un flash loan attack, che ha permesso a un hacker di rubare oltre 200 milioni di dollari in crypto.