[News] PancakeBunny : Sécurité des codes : Le passé, le présent et l’avenir

Bonjour la famille Bunny,🐰🐰🐰!

img

Comme vous le savez tous, leur projet a subi une attaque de type Flash Loan, par laquelle l’expoiteur a pu manipuler le prix de Bunny. Tout d’abord, nous tenons à rappeler à la communauté que vos fonds sont en sécurité !

L’exploit n’a pas violé l’un de leurs Vault, il s’agissait plutôt d’une manipulation du marché alimentée par une attaque de type Flash Loan. N’hésitez pas à lire le rapport d’autopsie : ici

En substance, l’exploiteur a transféré USDT et BNB au contrat Pancakeswap Pair, qui a appelé la frappe du contrat PancakePair pointant le récepteur vers le contrat lui-même et les tokens LP sont restés sur le PancakePair.

L’exploitant a ensuite appelé pour retirer la liquidité et a obtenu les tokens LP redondants, ce qui fait que le mineur a mal compris que les tokens LP redondants étaient des commissions de performance et a frappé une quantité excessive de Bunny.

Ceci étant dit, ils sont heureux de vous annoncer qu’ils ont apporté des modifications à leur code afin d’éviter que le même type d’attaque par emprunt éclair ne se reproduise.

Vous trouverez ci-dessous les deux principales modifications apportées.

  1. La fonction [PriceCalculatorBSC.sol] a été mise à jour afin que l’oracle du prix des tokens puisse utiliser le contrat Chainlink. Le prix du token LP utilise le code recommandé par alpha homera. (ref : https://blog.alphafinance.io/fair-lp-token-pricing/) En utilisant l’oracle de prix décentralisé de Chainlink, ils sont en mesure d’établir des “prix d’actifs équitables” qui atténueront les futures manipulations de prix.
    N’hésitez pas à vérifier le DiffChecker : https://www.diffchecker.com/S918SMpo
    À droite, le code qui a été modifié, surligné en vert, et à gauche, le code précédent surligné en rouge.
  2. Ils ont mis à jour le code de sorte que s’il y a un solde de paire irrégulier dans le contrat de paire de Bunny minter, le protocole le vérifiera, supprimera les irrégularités excessives (poussière) et supprimera la liquidité de façon transparente. Ils ont testé cette stratégie et ont confirmé qu’elle bloque une attaque potentielle de prêt flash. En outre, la fonction [BunnyMinterV2.sol] a également été mise à jour afin que les commissions de performance accumulées ne soient pas échangées en Bunny/Bnb, mais envoyées au contrat de trésorerie dans leurs tokens respectifs. Auparavant, les commissions de performance étaient détenues en Bunny/BNB, ce qui entraînait un effondrement de la valeur, le prix du Bunny/BNB étant manipulé par l’exploit. Le calcul de la commission de performance utilisera désormais les données de l’oracle des prix Chainlink, comme indiqué ci-dessus au point 1.
    DiffChecker : https://www.diffchecker.com/mtT6bZPj

Mesures à prendre pour renforcer la sécurité

Bien qu’il s’agisse d’un exploit économique résultant de prêts flash, et non d’une violation de leurs Vaults eux-mêmes, l’équipe Bunny prendra/a déjà pris des mesures pour assurer la sécurité et la sûreté futures.

  1. Ils ont reçu un audit de leurs Vaults à actif unique de la part d’Hexlant Labs, une importante société d’audit en Corée. Ils vous communiquerons bientôt les résultats !
  2. Après avoir examiné la qualité du rapport d’audit SAV, ils choisiront quelques cabinets d’audit pour vérifier l’ensemble de leur code, y compris leur futur Cross Chain. Leur code Cross Chain devrait être terminé d’ici une semaine, et ils s’attendent donc à ce que les audits complets de plusieurs sociétés commencent dans les prochaines semaines.
  3. Ils ont récemment intégré un membre clé de leur équipe de développement qui possède un doctorat en informatique, 12 ans d’expérience en codage et 5 ans d’expérience dans l’un des principaux centres de recherche en cybersécurité de Corée. Ils espèrent que son arrivée dans l’équipe et ses relations professionnelles dans le monde des “white hats” (piratage éthique) renforceront la cybersécurité et le code interne de Bunny.
  4. Ils ont quelques nouvelles idées passionnantes pour un produit d’assurance interne natif. Il est encore en phase d’idéation, mais ils espèrent le déployer dans un avenir proche, afin d’assurer un niveau supplémentaire de sécurité.
  5. Comme indiqué dans leur article “Go Forward Plan”, leur nouvelle plateforme de prêt innovante, nom de code “QFI”, sera prête pour un lancement en douceur dans deux mois. Leurs Vault à actif unique, qui font partie intégrante de leur future Cross-Chain, ont actuellement une exposition externe à la plateforme Venus. Ainsi, après le lancement de QFI, ils intégreront cette plateforme de prêt dans leurs Vaults d’actifs uniques, ce qui donnera lieu à un Cross-Chain transparent, de bout en bout, contrôlée et développée en interne. Ce changement atténuera les vulnérabilités futures liées à l’exposition à une plateforme externe.

L’équipe PancakeBunny utilisera cet événement malheureux comme une leçon d’apprentissage pour renforcer leurs mesures de sécurité, et en sortir plus fort que jamais. Ils espèrent que leur exemple pourra également éclairer et informer d’autres acteurs de l’espace DeFi sur la gravité et la prévalence des attaques de prêts flash et d’autres vulnérabilités entraînant une perte de fonds des utilisateurs.

source : ici

Website
Twitter
Facebook
Medium

Retrouvez nos autres articles :

Présentation BSChain
Présentation de la Binance Smart Chain
Binance Chain vs. Binance Smart Chain
Regard sur la BSC👀
Les portefeuilles : Binance Chain Wallet / Metamask / TrustWallet
[GUIDE] DeFi to the moon ! On vous dit tout !
Binance Bridge, comment l'utiliser ?
Les outils pratiques pour la Binance Smart Chain
Protéger son wallet en DeFi, qu’est-ce que cela signifie réellement ?
Les NFT’s un monde nouveau
Présentation de PancakeBunny, le lapin boulimique !
L’interopérabilité des Blockchains
[Rapport] 21 avril 2021 - Vénus Vaults Post-Mortem par Autofarm
[News] La 1ère étape pour HELMET #NFT ERA : Le Gacha Game 🎁
[News] Helmet.Insure #IIO: Lever Network
[News] ValueDefi + ApeSwap : Une collaboration précieuse🤝🐵
[News] Prochaines étapes de l'approvisionnement en BUNNY🐰
[News] Helmet.Insure, pour innover : #NFT Gacha LIVE
[News] ApeSwap : NFA Sale #4 + Recap
[News] BakerySwap : Crypto Doggies IDO
[News] Notification pour la communauté Bunny🐰
[News] L’intégration de Polygon arrive bientôt sur Autofarm !
[News] L’équipe Bunny à la rescousse !🐰🎉🙌
[News] Hot Cross (HOTCROSS) l’IFO sera hébergé sur PancakeSwap🥞
[News] Autofarm, Vault automatiques uniques et Tokenomics révisés
[News] PancakeBunny : Plan de récupération et plus!

.

H2
H3
H4
3 columns
2 columns
1 column
Join the conversation now
Ecency