BUSD:bEarn Fi 黑客攻击始末:代码现“小”问题轻松得手1100 万美元

北京时间2021年5月16日晚上九点半左右,PeckShield「派盾」预警监测到,跨链智能收益与流动性聚合器bEarnFi遭到攻击,损失近1,100万美元。

PeckShield「派盾」安全人员追踪和分析发现,此次攻击始于bEarnFi机池代码存在的「小问题」,以下是攻击细节分析。

值得注意的是,此次攻击的本金是从CreamFinance的闪电贷借来的。

Azuki Elemental Beans完成销售,共计5,862个地址持有:6月28日消息,NFT项目Azuki新系列Elemental Beans完成预售,链上数据显示共计5862个地址获得,并没有余量进行公售。

此前Azuki发推称,将推出Azuki Elementals系列NFT,总量20,000枚;每个Azuki都被空投一个未开图且被锁定的Elemental Bean,剩余NFT将在Azuki Elementals预售期间出售;其中Azuki持有者参与第一轮预售,余量留给BEANZ持有者,两轮预售后普通玩家可参与公售,以荷兰拍形式进行,起始价2ETH。[2023/6/28 22:04:04]

攻击者从CreamFinance闪电贷借出7,804,239.1BUSD;

Ezek发布路线图1.0,Phanta Bear NFT持有者将获得不同等级的NFT空投:官方消息,Ezek发布路线图1.0,其中包括Phanta Bear NFT持有者将获得不同等级的NFT空投;将发布新系列NFT,Phanta Bear NFT持有者有优先铸造权;赋予Phanta Bear NFT更多权力。[2022/1/11 8:39:39]

接着,攻击者创建的合约将所借BUSD存入BvaultsBank后,这些BUSD立即存至BvaultsStrategy策略中,随即转存入Alpaca借贷资金池,此时,攻击者可获得借贷资金池返还给的ibBUSD合成资产作为用户的抵押凭证。当退出时,用户可以凭借该凭证赎回抵押在借贷资金池内的本金及其抵押期内所产生的利息。在这一步中,AlpacaVault铸造了7,598,066.6ibBUSD返还至BvaultsStrategy;

Beam将在6月28日硬分叉 进军DeFi隐私领域:隐匿币Beam将在6月28日迎来第二次分叉,此次分叉将带来Beam在DeFi隐私领域的亮相。

硬分叉后,Beam会产生一种新的代币,名为“Beam CA”,作为网络中的独立代币运行。CA将与多种资产联系在一起,包括黄金这样的大宗商品和ETH这样的加密货币。届时,锁仓3000枚Beam(约合1400美元)的用户将有机会获得CA。

Beam项目的CTO Alex Romanov表示“作为在Beam区块链上构建一个保密DeFi平台的一部分,我们会推出基于MimbleWimble协议的侧链,也会整合许多无脚本智能合约,以支持托管、担保债务头寸、多方交易和基于预言机的结算。”(BitcoinExchangeGuide)[2020/6/27]

合约利用所铸造的7,598,066.6ibBUSD通过AlpacaFairLaunch进行挖矿;

当攻击者合约从BvaultsBank提取7,804,239.1BUSD时,以BvaultsStrategy提取逻辑为准,按照ibBUSD的价格来换算,而iBUSD的价格高于BUSD,则7,804,239.1ibBUSD相当于8,016,006.1BUSD,凭空多出20多万BUSD。

值得注意的是,攻击者合约只能从bVaultsBank取出其中7,804,239.1BUSD,并再次存入用于第二轮攻击,加上上一轮未从BvaultsStrategy取出的部分,此时,BvaultsStrategy转入Alpaca借贷资金池的数额就变成了8,016,006.1BUSD。

攻击者重复操作,最终将7,806,580.4BUSD返还给闪电贷,造成近1,100万美元的损失。

bEarnFi在复盘此次攻击事件时写道:务必复核所有的产品代码,由于近期DeFi安全事件频繁发生,未来的工作重心将从创新调整到增强安全上来。?

事实上,每次DeFi安全事件发生后,区块链安全公司PeckShield「派盾」都会警示协议开发者引以为戒,在协议上线前对代码进行审计和研究,在攻击事件发生后自查代码,防患于未然,但说一千道一万都不及遭到损失数百上千万美元的教训来得深刻。

安全是DeFi生态愈发繁荣的前提,也是一切创新创造的根本,不要等到造成损失才审视安全的重要性。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-0:683ms