Niedawne naruszenie bezpieczeństwa wstrząsnęło BetterBank, prominentnym protokołem Web3 w sektorze zdecentralizowanych finansów (DeFi), prowadząc do szacowanej straty w wysokości do 5 milionów dolarów. Eksploit, przypisany nieautoryzowanemu mintingowi bonusów poprzez fałszywe pary płynności, podkreśla krytyczne luki w stosunkowo młodych aplikacjach DeFi i znacząco wpłynął zarówno na całkowitą wartość zablokowaną (TVL) protokołu, jak i na szerszy ekosystem PulseChain, na którym działa.
- Strata szacowana na do 5 milionów dolarów.
- Eksploit poprzez nieautoryzowany minting bonusów z użyciem fałszywych par płynności.
- Znaczący spadek całkowitej wartości zablokowanej (TVL) protokołu BetterBank.
- Wstrząs dla szerszego ekosystemu PulseChain.
- Błąd projektowy w kontrakcie inteligentnym odpowiedzialnym za nagrody.
- Niedopatrzenie w audycie dotyczące weryfikacji jakości dostawców płynności.
Szczegóły Ataku i Luka w Zabezpieczeniach
Rdzeniem ataku była wada projektowa w kontrakcie inteligentnym BetterBank odpowiedzialnym za nagrody. Pierwotnie zaprojektowany, aby zachęcać do dostarczania płynności dla tokena FAVOR, system pozwalał użytkownikom na tworzenie par płynności wobec praktycznie każdego aktywa, włączając nowo wybite, bezwartościowe tokeny, bez odpowiedniej weryfikacji. Pomimo niskiej jakości lub braku wartości tych fałszywych par, osoba wykorzystująca lukę była w stanie wybijać znaczące ilości tokenów ESTEEM jako nagrody. Dalsze dochodzenie on-chain ujawniło, że atakujący sprytnie ominął standardowy podatek nałożony na masowe wybijanie nagród, wykorzystując te zewnętrzne, niemonitorowane pary płynności.
Zespół BetterBank potwierdził, że chociaż kontrakt odpowiedzialny za wydawanie nagród przeszedł audyt, ocena nie obejmowała weryfikacji jakości dostawców płynności FAVOR. To niedopatrzenie stworzyło krytyczną lukę typu „nisko wiszący owoc”, umożliwiając złośliwym podmiotom wykorzystanie systemu poprzez generowanie płynności o niskiej wartości, a następnie opróżnianie protokołu poprzez nieuzasadnione wybijanie nagród.
Konsekwencje Finansowe dla BetterBank
Konsekwencje finansowe dla BetterBank były znaczące. Niegdyś protokół DeFi z pierwszej piątki na PulseChain, szczycący się 30 milionami dolarów w całkowitej wartości zablokowanej, płynność platformy spadła do około 7,96 miliona dolarów po ataku. Poza natychmiastowym drenażem finansowym, protokół czeka teraz tygodnie intensywnej pracy nad naprawą swoich kontraktów inteligentnych i złagodzeniem znacznych szkód reputacyjnych. Dodatkowo, BetterBank obecnie posiada 10,31 miliona dolarów w pożyczonej płynności, co dodaje kolejną warstwę złożoności do jego wysiłków na rzecz odzyskania stabilności.
Szerszy Wpływ na Ekosystem PulseChain
Wpływ eksploitu rozszerzył się na szerszy ekosystem PulseChain, który niedawno doświadczał wzrostu w swoim sektorze DeFi, z płynnością odzyskującą poziom powyżej 300 milionów dolarów. Tokeny Pulse i PulseX, integralne dla ekosystemu łańcucha, również zostały dotknięte. Po naruszeniu BetterBank, token PulseX doświadczył gwałtownego spadku, tracąc ponad 15% wartości. Ta reakcja rynku podkreśla, jak luki w jednym protokole mogą rozprzestrzeniać się w połączonej sieci blockchain. Spadek cen był szczególnie śledzony na CoinGecko.
Reakcja BetterBank i Plany Odbudowy
W odpowiedzi na incydent, zespół BetterBank szybko wstrzymał protokół i zobowiązał się do pokrycia strat z własnych rezerw. Planują ponowne uruchomienie programu nagród dla dostawców płynności z nowym airdropem tokenów i całkowicie przeprojektowanym kontraktem inteligentnym, aby rozwiązać zidentyfikowane luki. Zespół próbował również skontaktować się z hakerem, wysyłając wiadomość na adres eksploatora, choć nie otrzymano żadnej odpowiedzi ani propozycji typu „white-hat”. Według doniesień, atakujący przeniósł 215 ETH do sieci Ethereum, co czyni środki bardziej podatnymi na mieszanie lub wymianę, jednocześnie wciąż posiadając około 700 000 pDAI, które wymagają bridgowania, aby stały się użyteczne.
Szerszy Kontekst Eksploitów DeFi
Ten incydent jest częścią szerszego trendu eksploitów celujących w stosunkowo mniejsze aplikacje DeFi, gdzie urok niszowych tokenów może czasami utrudniać hakerom śledzenie i likwidację skradzionych środków. Jednakże, takie ataki niezmiennie prowadzą do znacznych strat reputacyjnych i cen rynkowych dla dotkniętych protokołów, często przewyższając ostateczny zysk finansowy hakera, nawet jeśli skradzione stablecoiny zostaną pomyślnie zlikwidowane.
Marek Tutko to autor newsów na bitgate.pl, który wnosi do świata kryptowalut sporo humoru i świeżego podejścia. Jego teksty łączą w sobie precyzyjną analizę rynku z nutą ironii – potrafi znaleźć śmieszne analogie nawet w najbardziej zmiennych notowaniach. Dla Marka każda zmiana kursu to okazja do żartobliwego komentarza, a wykresy zamienia w opowieści pełne nieoczekiwanych zwrotów akcji. Jego artykuły to nie tylko źródło rzetelnych informacji, ale także dawka pozytywnej energii, która sprawia, że nawet świat kryptowalut staje się bardziej przyjazny.