Bonjour la famille Bunny,đ°đ°đ°!
Comme vous le savez tous, leur projet a subi une attaque de type Flash Loan, par laquelle lâexpoiteur a pu manipuler le prix de Bunny. Tout dâabord, nous tenons Ă rappeler Ă la communautĂ© que vos fonds sont en sĂ©curitĂ© !
Lâexploit nâa pas violĂ© lâun de leurs Vault, il sâagissait plutĂŽt dâune manipulation du marchĂ© alimentĂ©e par une attaque de type Flash Loan. NâhĂ©sitez pas Ă lire le rapport dâautopsie : ici
En substance, lâexploiteur a transfĂ©rĂ© USDT et BNB au contrat Pancakeswap Pair, qui a appelĂ© la frappe du contrat PancakePair pointant le rĂ©cepteur vers le contrat lui-mĂȘme et les tokens LP sont restĂ©s sur le PancakePair.
Lâexploitant a ensuite appelĂ© pour retirer la liquiditĂ© et a obtenu les tokens LP redondants, ce qui fait que le mineur a mal compris que les tokens LP redondants Ă©taient des commissions de performance et a frappĂ© une quantitĂ© excessive de Bunny.
Ceci Ă©tant dit, ils sont heureux de vous annoncer quâils ont apportĂ© des modifications Ă leur code afin dâĂ©viter que le mĂȘme type dâattaque par emprunt Ă©clair ne se reproduise.
Vous trouverez ci-dessous les deux principales modifications apportées.
- La fonction [PriceCalculatorBSC.sol] a Ă©tĂ© mise Ă jour afin que lâoracle du prix des tokens puisse utiliser le contrat Chainlink. Le prix du token LP utilise le code recommandĂ© par alpha homera. (ref : https://blog.alphafinance.io/fair-lp-token-pricing/) En utilisant lâoracle de prix dĂ©centralisĂ© de Chainlink, ils sont en mesure dâĂ©tablir des âprix dâactifs Ă©quitablesâ qui attĂ©nueront les futures manipulations de prix.
NâhĂ©sitez pas Ă vĂ©rifier le DiffChecker : https://www.diffchecker.com/S918SMpo
Ă droite, le code qui a Ă©tĂ© modifiĂ©, surlignĂ© en vert, et Ă gauche, le code prĂ©cĂ©dent surlignĂ© en rouge. - Ils ont mis Ă jour le code de sorte que sâil y a un solde de paire irrĂ©gulier dans le contrat de paire de Bunny minter, le protocole le vĂ©rifiera, supprimera les irrĂ©gularitĂ©s excessives (poussiĂšre) et supprimera la liquiditĂ© de façon transparente. Ils ont testĂ© cette stratĂ©gie et ont confirmĂ© quâelle bloque une attaque potentielle de prĂȘt flash. En outre, la fonction [BunnyMinterV2.sol] a Ă©galement Ă©tĂ© mise Ă jour afin que les commissions de performance accumulĂ©es ne soient pas Ă©changĂ©es en Bunny/Bnb, mais envoyĂ©es au contrat de trĂ©sorerie dans leurs tokens respectifs. Auparavant, les commissions de performance Ă©taient dĂ©tenues en Bunny/BNB, ce qui entraĂźnait un effondrement de la valeur, le prix du Bunny/BNB Ă©tant manipulĂ© par lâexploit. Le calcul de la commission de performance utilisera dĂ©sormais les donnĂ©es de lâoracle des prix Chainlink, comme indiquĂ© ci-dessus au point 1.
DiffChecker : https://www.diffchecker.com/mtT6bZPj
Mesures à prendre pour renforcer la sécurité
Bien quâil sâagisse dâun exploit Ă©conomique rĂ©sultant de prĂȘts flash, et non dâune violation de leurs Vaults eux-mĂȘmes, lâĂ©quipe Bunny prendra/a dĂ©jĂ pris des mesures pour assurer la sĂ©curitĂ© et la sĂ»retĂ© futures.
- Ils ont reçu un audit de leurs Vaults Ă actif unique de la part dâHexlant Labs, une importante sociĂ©tĂ© dâaudit en CorĂ©e. Ils vous communiquerons bientĂŽt les rĂ©sultats !
- AprĂšs avoir examinĂ© la qualitĂ© du rapport dâaudit SAV, ils choisiront quelques cabinets dâaudit pour vĂ©rifier lâensemble de leur code, y compris leur futur Cross Chain. Leur code Cross Chain devrait ĂȘtre terminĂ© dâici une semaine, et ils sâattendent donc Ă ce que les audits complets de plusieurs sociĂ©tĂ©s commencent dans les prochaines semaines.
- Ils ont rĂ©cemment intĂ©grĂ© un membre clĂ© de leur Ă©quipe de dĂ©veloppement qui possĂšde un doctorat en informatique, 12 ans dâexpĂ©rience en codage et 5 ans dâexpĂ©rience dans lâun des principaux centres de recherche en cybersĂ©curitĂ© de CorĂ©e. Ils espĂšrent que son arrivĂ©e dans lâĂ©quipe et ses relations professionnelles dans le monde des âwhite hatsâ (piratage Ă©thique) renforceront la cybersĂ©curitĂ© et le code interne de Bunny.
- Ils ont quelques nouvelles idĂ©es passionnantes pour un produit dâassurance interne natif. Il est encore en phase dâidĂ©ation, mais ils espĂšrent le dĂ©ployer dans un avenir proche, afin dâassurer un niveau supplĂ©mentaire de sĂ©curitĂ©.
- Comme indiquĂ© dans leur article âGo Forward Planâ, leur nouvelle plateforme de prĂȘt innovante, nom de code âQFIâ, sera prĂȘte pour un lancement en douceur dans deux mois. Leurs Vault Ă actif unique, qui font partie intĂ©grante de leur future Cross-Chain, ont actuellement une exposition externe Ă la plateforme Venus. Ainsi, aprĂšs le lancement de QFI, ils intĂ©greront cette plateforme de prĂȘt dans leurs Vaults dâactifs uniques, ce qui donnera lieu Ă un Cross-Chain transparent, de bout en bout, contrĂŽlĂ©e et dĂ©veloppĂ©e en interne. Ce changement attĂ©nuera les vulnĂ©rabilitĂ©s futures liĂ©es Ă lâexposition Ă une plateforme externe.
LâĂ©quipe PancakeBunny utilisera cet Ă©vĂ©nement malheureux comme une leçon dâapprentissage pour renforcer leurs mesures de sĂ©curitĂ©, et en sortir plus fort que jamais. Ils espĂšrent que leur exemple pourra Ă©galement Ă©clairer et informer dâautres acteurs de lâespace DeFi sur la gravitĂ© et la prĂ©valence des attaques de prĂȘts flash et dâautres vulnĂ©rabilitĂ©s entraĂźnant une perte de fonds des utilisateurs.
source : ici
Website
Twitter
Facebook
Medium
Retrouvez nos autres articles :
Présentation BSChain
Présentation de la Binance Smart Chain
Binance Chain vs. Binance Smart Chain
Regard sur la BSCđ
Les portefeuilles : Binance Chain Wallet / Metamask / TrustWallet
[GUIDE] DeFi to the moon ! On vous dit tout !
Binance Bridge, comment l'utiliser ?
Les outils pratiques pour la Binance Smart Chain
ProtĂ©ger son wallet en DeFi, quâest-ce que cela signifie rĂ©ellement ?
Les NFTâs un monde nouveau
Présentation de PancakeBunny, le lapin boulimique !
LâinteropĂ©rabilitĂ© des Blockchains
[Rapport] 21 avril 2021â-âVĂ©nus Vaults Post-Mortem par Autofarm
[News] La 1Ăšre Ă©tape pour HELMET #NFT ERA : Le Gacha Game đ
[News] Helmet.Insure #IIO: Lever Network
[News] ValueDefi + ApeSwap : Une collaboration prĂ©cieuseđ€đ”
[News] Prochaines Ă©tapes de l'approvisionnement en BUNNYđ°
[News] Helmet.Insure, pour innover : #NFT Gacha LIVE
[News] ApeSwap : NFA Sale #4 + Recap
[News] BakerySwap : Crypto Doggies IDO
[News] Notification pour la communautĂ© Bunnyđ°
[News] LâintĂ©gration de Polygon arrive bientĂŽt sur Autofarm !
[News] LâĂ©quipe Bunny Ă la rescousse !đ°đđ
[News] Hot Cross (HOTCROSS) lâIFO sera hĂ©bergĂ© sur PancakeSwapđ„
[News] Autofarm, Vault automatiques uniques et Tokenomics révisés
[News] PancakeBunny : Plan de récupération et plus!
.