هک با استفاده از وام‌ سریع؛ سرقت ۶.۲ میلیون دلار از Belt Finance

هکری با استفاده از وام‌های سریع (flash loans)، از آسیب‌پذیری استخر Belt Finance 4Belt بهره برد. هکر مورد نظر توانسته است ۶.۲ میلیون دلار BUSD سرقت کند و آن را از طریق صرافی غیرمتمرکز 1inch به اتر تبدیل کند.

این هک تقریبا کوچک بوده است. به طوری که فقط ۶.۲ میلیون دلار از مجموع سرمایه مسدودشده ۲.۶ میلیارد دلاری Belt Finance سرقت شده است.

صندوق beltBUSD از چهار استراتژی مختلف استفاده می‌کند. وجود یک باگ در استراتژی Ellipsis برای سرقت سرمایه‌ها استفاده شده است.

این صندوق، واریزهای جدید را به استراتژی با کمترین استفاده و مشترک ارسال می‌کند. همچنین برداشت‌ها را از استراتژی با بیشترین استفاده و مشترک انجام می‌دهد تا توازنی بین این ۴ استراتژی ایجاد شود. در صورتی که توازن استخر 3EPS از بین برود، باگ استراتژی Elipsis مقدار اشتباه ایجاد می‌کند.

هکر موردنظر با استفاده از وام‌های سریع تقریبا ۲۰۰ میلیون دلار از BUSD به USDT انتقال داد و توازن استخر 3EPS را بهم زد. در نتیجه، باگ استراتژی Elipsis ایجاد شد. در اینجا بود که استخر 4Belt سهم هکر را بیش از حد واقعی خود محاسبه کرد و پس از پایان وام سریع، ۰.۵ درصد سود بیشتر به هکر پرداخت کرد. این موضوع باعث شد یک میلیون دلار از تراکنش وام سریع ۲۰۰ میلیون دلاری نصیب هکر شود.

هکر این تراکنش را بارها تکرار کرد. ۶.۲ میلیون دلار سود به دست آورد. منجر به ضرر ۱۳میلیون دلاری برای استخر 3EPS شد، زیرا ۶ میلیون دلار کارمزد نیز به این استخر تحمیل شد.

بیانیه بلت فایننس

بلت فایننس (Belt Finance) در پست اخیر بلاگ خود گفته است که حمله‌کننده یک قرارداد هوشمند ایجاد کرده است که از پنکیک‌سواپ برای وام‌های سریع استفاده می‌کرد. این قرارداد هوشمند ۸ بار از باگ موجود در استخر beltBUSD و پروتکل‌های آن استفاده کرده و مجموعا ۶,۲۳۴,۷۵۳ توکن BUSD سرقت کرده است.

کاربران صندوق beltBUSD تقریبا ۲۱.۳۶ درصد و کاربران استخر 4Belt نیز ۵.۵۱ درصد از سرمایه خود را از دست داده‌اند. استخرهای دیگر تحت تاثیر این حمله قرار نگرفته‌اند.

بلت فایننس گفته است به محض آگاهی یافتن از این حمله، واریزها و برداشت‌ها را متوقف کرده و آسیب‌پذیری موردنظر نیز اصلاح شده است.

بلت فایننس در پست یک‌شنبه خود گفته است که واریزها و برداشت‌ها طی ۲۴ الی ۴۸ ساعت آتی به شرایط عادی برمیگردد. همچنین بر روی برنامه جبران خسارت کاربران کار می‌کند. این برنامه نیز طی ۴۸ ساعت آتی اعلام خواهد شد.