Binance Smart Chain Projesi BurgerSwap’tan 7.2 Milyon Dolar Çalındı

Binance Smart Chain tabanlı bir merkeziyetsiz finans (DeFi) projesi olan BurgerSwap, bugün geceyarısı saatlerinde bir flash loan saldırısına uğradığını duyurdu. Saldırı sırasında 7.2 milyon dolar değerinde para çalındı.

BurgerSwap ekibinin cuma sabahı yaptığı duyuruya göre saldırı, Türkiye saatiyle tam geceyarısı vakitlerinde gerçekleşti. Kimliği henüz tespit edilmeyen hackerların, saldırı sırasında toplamda 14 farklı işlem yaptığı aktarıldı.

“Fake Coin” diye bir token ürettiler

BurgerSwap; Binance Smart Chain’de üretilmiş tokenları kendi aralarında swap etmek ve bu merkeziyetsiz piyasalara likidite sağlayarak gelir elde etmek için kullanılıyor.

Hackerlar, Fake Coin adı altında bir token üretip, bunun BurgerSwap’in kendi tokenı olan BURGER ile bir paritesini açtılar. BurgerSwap ekibi, hackerlar tarafından kullanılan metodu şöyle özetledi:

“Saldırganlar, yaptıkları ayarla BURGER -> Fake Coin -> WBNB yönlendirmesi (routing) oluşturdular. Hacker, BURGER -> Fake Coin paritesi ile Fake Coin üzerinden BurgerSwap’e yeniden giriş yaptı ve paritenin sözleşmesindeki reserve0 ve reserve1 verilerini manipüle edip, fiyatın değişmesine yol açtı.”

Çalınan tokenların tam listesi

Hackerların, bu metodu kullandıktan sonra yeniden işlem yapıp bunları WBNB’ye dönüştürdüğü aktarılıyor. Blockchain üstünden geriye dönük yapılan incelemelere göre saldırgan, sırasıyla:

1. PancakeSwap’te 6.000 WBNB’lik bir swap yaptı,
   

   ---

2. Bu WBNB’lerin neredeyse tamamını BurgerSwap’te 92.000 BURGER’a swapladı,
   

   ---

3. BurgerSwap’te sahte bir token oluşturup, bunun havuzuna 100 tane sahte token; 45.000 tane BURGER koydu,
   

   ---

4. Bu havuzu 100 sahte tokenı, 4.400 tane WBNB’ye swaplamak için kullandı,
   

   ---

5. Sahte token’ın transferi yapılırken işleme yeniden girebildiği için farklı bir swap yapıp 45.000 BURGER’ı 4.400 WBNB’ye dönüştürdü,
   

   ---

6. Yaptığı bu son 2 işlemle toplamda 8.800 WBNB kazanmış oldu,
   

   ---

7. 493 tane WBNB’yi, BurgerSwap’i kullanarak 108.700 BURGER’a dönüştürdü,
   

   ---

8. Flash loan’un geri ödemesini yaptı.

BurgerSwap ekibi tarafından aktarılan bilgilere göre saldırı sonucunda toplamda (yaklaşık sayılarla):

• 4.400 WBNB (1.6 milyon dolar)
• 22.000 BUSD (22.000 dolar)
• 2,5 ETH (6.800 dolar)
• 1.4 milyon USDT (1.4 milyon dolar)
• 432.000 BURGER (3.2 milyon dolar)
• 142.000 xBURGER (1 milyon dolar) ve
• 95.000 ROCKS çalındı.