フラッシュローンを使用して脆弱性を悪用するハッカー
ハッカーはフラッシュローンを使用して、Belt Finance4Beltプールの脆弱性を悪用したことが分かった。
ハッカーは620万ドル相当のバイナンスUSD(Binance USD/BUSD)を盗み、BinanceのネイティブUSDペグステーブルコインを1inch DEX経由でETHに変換し、Binance SmartChainからEthereumに部分的に引き出している。
このハッキングは比較的良性お言える部類のハッキングで、ベルトファイナンスの26億ドル(約2,852億円)の巨額のTVL(ロックされた価値)から盗まれたのはわずか620万ドル(約6億8,000万円)であった。
フラッシュローン悪用の手口
BeltBUSD Beltは4つの戦略を使用し、エリプシス戦略のバグは、金星戦略を介して資金を漏らすために使用されていることが分かっている。
Beltは、最もサブスクライブされていない戦略に新しい預金を送信し、最もオーバーサブスクライブされている戦略からの引き出しを支払い、4つの戦略のバランスを取る。Elipsis戦略のバグは、3EPSプールが不均衡になると、値の誤算を引き起こします。フラッシュローンを使用して、ハッカーは約2億ドル(約219億円)をBUSDからテザー(Tether/USDT)に交換。3EPSプールのバランスを崩し、Elipsis戦略のバグをアクティブにしている。この時点での4Beltプールは、ハッカーの株を過大評価し、フラッシュローンの終了後にさらに0.5 %の利益を支払う。これにより、1回の2億ドルのフラッシュローン取引から100万ドルの利益が得られるという。
3EPSプールに600万ドルの手数料が支払われたため、ハッカーはトランザクションを複数回繰り返し、620万ドルの利益を上げ、合計で1,300万ドルの損失を引き起こした。Binance Smart Chainエコシステムにおける他の最近のハッキングの弱点とともに、このハッキングは、徹底的な監査なしにコードベース全体が複製される「フォークカルチャー」の非難につながっている。この問題により、NEXTMONEYの特集記事「フラッシュローン攻撃で2つのBinanceスマートチェーンDeFiプロジェクトに被害」でも報じているが、過去数週間にいくつかのフラッシュローン攻撃が発生している。