区块链神吐槽关于bunny的被黑,Peckshield 找到了根本原因 :
bunny 用了基于 cake amm 的价格来计算铸造的 bunny 价值,而黑客通过闪电贷操控了 bunny 在cake价格。
教训是 价格预言机非常重要,好多defi合约被攻击都是由于价格操控,请defi 项目开发人员引以为戒。
对bunny影响是系统新增800万Bunny,原来是160万枚。
冲出中途岛啊:这属于安全漏洞吗?
原文微博@分布式金融DeFi:算设计的漏洞。
operator银河 微信群聊记录
bunny 因为铸币设计缺陷,早上被铸造了90%的币出来砸盘。
闪电贷攻击,让攻击者在bunny瞬间拥有大量bnb的利润,然后bunny系统就铸造了大量bunny给攻击者。
bunny官方说的不完全真实。
他的挖矿,是根据你的收益,你收益1bnb,铸造3个bunny奖励给你。黑客利用闪电贷,操纵了价格,然后让收益瞬间无限大。然后bunny就根据黑客的收益奖励了几百万bunny。
实际的问题是bunny的铸币的缺陷,比如正常的项目,他的挖矿是根据每个区块奖励多少个币。比如sushi每天产量就是加入1000个,假如1000个。
不管你提供多少LP进去,每天sushi的产量都是固定的,bunny就不同了。他是根据你贡献来铸币。
主要是bunny设计的缺陷,别的机枪池不会有这个问题,别的机枪池的每日产币都是固定的。
bunny的产币是弹性的,所以有人觉得是监守自盗,撸走几亿美金,因为这个设计,他们团队是最清楚的,闪电贷对他们来说,他们也是非常了解的。
