Những thay đổi của Pancake Bunny nhằm ngăn chặn tấn công Flash Loan tái diễn

Last Updated: August 30, 2021

Như tất cả các bạn đã biết, dự án của PancakeBunny phải hứng chịu một cuộc tấn công Flash Loan, theo đó kẻ tấn công đã có thể thao túng giá của BUNNY. Nhưng cộng đồng hãy yên tâm rằng tiền của các mọi người vẫn luôn an toàn! Việc tấn công không vi phạm bất kỳ kho tiền thực tế nào của họ, nó giống như một trò thao túng thị trường được thúc đẩy bởi một cuộc tấn công Flash Loan. Bạn có thể đọc lại báo cáo tại đây

Về bản chất, kẻ tấn công đã chuyển USDT và BNB sang hợp đồng Pancakeswap Pair, đây được xem là việc mint hợp đồng PancakePair đưa người nhận đến chính hợp đồng của họ và các token LP vẫn còn trên PancakePair. Sau đó, hacker đặt lệnh để loại bỏ tính thanh khoản và nhận được token LP dư thừa, và hiểu nhầm token LP dư thừa là thực hiện nên đã khai thác một lượng Bunny dư thừa.

Chính vì điều trên, PancakeBunny đã thực hiện thành công thay đổi code để ngăn chặn các cuộc tấn công Flash Loan tương tự. Dưới đây là hai thay đổi lớn đã thực hiện:

  1. Chức năng, [PriceCalculatorBSC.sol] đã được cập nhật để oracle về giá token có thể sử dụng hợp đồng Chainlink. Giá token LP sử dụng mã do alpha homera đề xuất. (giới thiệu: https://blog.alphafinance.io/fair-lp-token-pricing/) Bằng cách sử dụng oracle giá phi tập trung từ Chainlink, họ có thể thiết lập “Giá tài sản hợp lý” sẽ giảm thiểu các thao túng giá trong tương lai. Hãy kiểm tra DiffChecker: https://www.diffchecker.com/S918SMpo (Bên phải là mã đã được thay đổi, được đánh dấu bằng màu xanh lá cây so với bên trái là mã trước đó được đánh dấu bằng màu đỏ).
  1. PancakeBunny cũng đã cập nhật code để nếu có số dư bất thường ở các cặp trong hợp đồng cặp của Bunny minter, giao thức sẽ kiểm tra nó rồi loại bỏ các bất thường dư thừa và loại bỏ thanh khoản một cách nhanh chóng. Họ đã thử nghiệm lại chiến lược này và xác nhận nó sẽ chặn các cuộc tấn công flash loan đột ngột. Hơn nữa, chức năng, [BunnyMinterV2.sol] cũng đã được cập nhật, theo đó phí thực hiện tích lũy không được hoán đổi thành Bunny/ Bnb, mà sẽ được gửi đến hợp đồng kho bạc trong các token tương ứng của chúng. Trước đây, phí thực hiện được giữ bằng Bunny/ BNB dẫn đến sự sụt giảm giá trị, vì giá Bunny/ BNB thường bị thao túng qua các cuộc tấn công. Việc tính toán phí thực hiện bây giờ sẽ sử dụng dữ liệu oracle về giá Chainlink như đã thấy ở trên trong mục 1.

DiffChecker: https://www.diffchecker.com/mtT6bZPj

Những việc cần làm để tăng cường bảo mật

Mặc dù đây là một vụ tấn công kinh tế phát sinh từ Flash Loan và không phải là một sự xâm nhập vault chính, nhưng Bunny team sẽ thực hiện và đã thực hiện các bước để đảm bảo an ninh và an toàn trong tương lai.

  1. Hexlant Labs, công ty kiểm toán lớn ở Hàn Quốc, đã thực hiện một cuộc kiểm toán cho các tài sản duy nhất trong vault thông minh của PancakeBunny. Họ sẽ đưa kết quả sớm nhất có thể!
  2. Sau khi xem xét chất lượng của báo cáo kiểm toán SAV, họ sẽ chọn một vài công ty kiểm toán để kiểm tra toàn bộ quy trình, bao gồm cả cross-chain sắp công bố. Code cross-chain dự kiến ​​sẽ được hoàn thành trong tuần, vì vậy họ mong đợi các cuộc đánh giá đầy đủ từ nhiều công ty trong vài tuần tới.
  3. Gần đây nhất, PancakeBunny đã giới thiệu một thành viên cốt lõi trong nhóm phát triển của mình, người có bằng tiến sĩ về khoa học máy tính, 12 năm kinh nghiệm viết code và 5 năm kinh nghiệm từ một trong những trung tâm nghiên cứu an ninh mạng hàng đầu của Hàn Quốc. Nhờ các mối quan hệ chuyên nghiệp của người này trong giới hacker mũ trắng (WhiteHat: hacker đem kỹ năng của mình giúp người khác), họ hy vọng việc bổ sung anh ấy vào team sẽ củng cố an ninh mạng và code nội bộ của Bunny.
  4. Họ có một số ý tưởng mới thú vị cho sản phẩm bảo hiểm nội bộ. Nó vẫn đang trong giai đoạn lên ý tưởng, nhưng họ hy vọng sẽ triển khai điều này trong tương lai gần, để hoạt động như một cấp bổ sung của bộ đệm bảo mật.
  5. Như đã nêu trong “Kế hoạch Tiến lên”, nền tảng cho vay sáng tạo mới –  “QFI ” sẽ ra mắt thử nghiệm trong thời gian 2 tháng. Vault tài sản duy nhất, đóng vai trò là một phần không thể thiếu trong việc ra mắt cross-chain trong tương lai, hiện đã được tung ra ngoài với nền tảng Venus. Do đó, sau khi ra mắt QFI, họ sẽ tích hợp theo chiều dọc nền tảng cho vay này vào các vault tài sản duy nhất, dẫn đến một cross-chain thống nhất trong nội bộ, được kiểm soát và phát triển đồng bộ. Sự thay đổi này sẽ giảm thiểu các lỗ hổng trong tương lai liên quan đến việc tiếp xúc với nền tảng bên ngoài.

PancakeBunny xem đây là một bài học kinh nghiệm để từ đó tăng cường các biện pháp bảo mật và đưa ra các phương án có tính bảo mật cao. Hy vọng bài viết này, có thể làm sáng tỏ và thông báo cho những ai trong không gian DeFi về mức độ nghiêm trọng và phổ biến của các cuộc tấn công flash loan cũng như các lỗ hổng. Những điều này đều dẫn đến mất tiền của người dùng đấy.

Nguồn: Pancake Bunny

Theo dõi Facebook và Telegram Bitcoincuatoi để cập nhật những thông tin về tiền mã hóa!

Nhóm thảo luận: Facebook Group | Telegram Group

*Thông tin trong bài viết chỉ mang mục đích chia sẻ và cung cấp kiến thức, không phải là lời khuyên đầu tư. “Do your own research!” Hãy tự nghiên cứu trước khi đưa ra quyết định đầu tư.

   

BÀI VIẾT LIÊN QUAN

Leave a Comment