В результате атаки на пул ликвидности Impossible Finance, которая произошла 21 июня около 4:40 UTC, хакеры вывели 229.84 ETH на сумму около $500 000. Специалисты фирмы по безопасности WatchPlug сообщили, что хакеры использовали уязвимость в смарт-контракте пула ликвидности. Это позволило провести несколько сделок по обмену внутреннего токена Impossible Finance на BUSD, а затем на BNB для погашения мгновенного займа.
Однако странность заключается в том, что свопы осуществлялись друг за другом по одинаковой цене, что обычно невозможно выполнить из-за проскальзывания. Разработчик децентрализованной биржи SushiSwap Мудит Гупта (Mudit Gupta) сообщил, что этот инцидент имеет сходство с майской атакой на протокол BurgerSwap, который тоже функционирует на базе Binance Smart Chain. Тогда злоумышленники смогли вывести криптоактивы на сумму около $7.2 млн.
В случае с Impossible Finance, хакер также стал применять атаку с использованием быстрых кредитов, чтобы «истощить» пул ликвидности с помощью поддельных токенов, манипулируя рынком в свою пользу. Руководство Impossible Finance заявило, что компенсирует пользователям все утерянные средства.
В настоящее время все вознаграждения пула ликвидности Impossible Finance приостановлены, а пользователям проекта рекомендуется не зачислять и не выводить средства для торговых пар с BUSD и BNB. Команда проекта заявила, что работает с аналитическими компаниями PeckShield, WatchPlug и другими специалистами в области безопасности, чтобы расследовать произошедшее.
Отметим, что атака на Impossible Finance произошла менее чем через три недели после того, как протокол собрал $7 млн в раунде финансирования, который проводился при участии фирм True Ventures, CMS Holdings, Alameda Research и Hashed. Изначально проект начал работать на основе Binance Smart Chain, но в дальнейшем планируется переход на Эфириум и Polygon.
В последнее время множество проектов стали жертвами атак с использованием мгновенных займов. Один из них – PancakeBunny, который потерял криптоактивы на сумму около $200 млн. Разработчики Binance Smart Chain считают, что эти атаки могут быть взаимосвязаны, и предложили проектам создавать резервные фонды, чтобы застраховаться от подобных ситуаций.