bEarn Fi 黑客攻擊始末：代碼現“小”問題輕松得手1100 萬美元_BEA:VAULT

北京時間2021年5月16日晚上九點半左右，PeckShield「派盾」預警監測到，跨鏈智能收益與流動性聚合器bEarnFi遭到攻擊，損失近1,100萬美元。

PeckShield「派盾」安全人員追蹤和分析發現，此次攻擊始于bEarnFi機槍池代碼存在的「小問題」，以下是攻擊細節分析。

波卡平行鏈Moonbeam已恢復出塊:金色財經報道，波卡平行鏈Moonbeam推特稱，最近Moonbeam區塊鏈生產問題的根本原因已經確定，團隊已經以客戶端升級的形式部署了一個解決方案。Moonbeam現在正在出塊。

隨著所有節點更新到最新版本 0.30.3，區塊生產將繼續增加。據此前消息，Moonbeam網絡于北京時間晚上10:45左右出現宕機事故。[2023/4/6 13:47:14]

值得注意的是，此次攻擊的本金是從CreamFinance的閃電貸借來的。

Azuki空投NFT項目Beanz Official將于5月6日3時開盒:5月5日消息，Azuki 官方在社交媒體上發文表示，Azuki 空投 NFT 項目 Beanz Official 將于北京時間 5 月 6 日 3 時開盒。

據 NFTGo.io 數據顯示，當前 Beanz Official 總交易額已達 1.42 億美元。截止目前，該系列 NFT 24 小時交易額達 383.7 萬美元，增幅達 46.06%，地板價升至 6 ETH，24 小時漲幅為 2.70%。[2022/5/5 2:51:50]

攻擊者從CreamFinance閃電貸借出7,804,239.1BUSD；

Beanstalk Farms將商討項目重啟方案，并呼吁黑客返還90%被盜資金:4月19日消息，此前因受閃電貸攻擊損失1.8億美元的算法穩定幣項目Beanstalk Farms在Discord發布公告表示，項目團隊基于社區討論，正在起草一份提案以重啟項目，同時將召開社區會議，針對項目重啟方案聽取更廣泛的意見以保證 Beanstalk 的持久成功。會議結束后，團隊將在Snapshot發布提案投票。此外，Beanstalk Farms在推特上呼吁黑客返還90%被盜資金，并向其支付剩余10%作為白帽獎金。[2022/4/19 14:33:19]

接著，攻擊者創建的合約將所借BUSD存入BvaultsBank后，這些BUSD立即存至BvaultsStrategy策略中，隨即轉存入Alpaca借貸資金池，此時，攻擊者可獲得借貸資金池返還給的ibBUSD合成資產作為用戶的抵押憑證。當退出時，用戶可以憑借該憑證贖回抵押在借貸資金池內的本金及其抵押期內所產生的利息。在這一步中，AlpacaVault鑄造了7,598,066.6ibBUSD返還至BvaultsStrategy；

合約利用所鑄造的7,598,066.6ibBUSD通過AlpacaFairLaunch進行挖礦；

當攻擊者合約從BvaultsBank提取7,804,239.1BUSD時，以BvaultsStrategy提取邏輯為準，按照ibBUSD的價格來換算，而iBUSD的價格高于BUSD，則7,804,239.1ibBUSD相當于8,016,006.1BUSD，憑空多出20多萬BUSD。

值得注意的是，攻擊者合約只能從bVaultsBank取出其中7,804,239.1BUSD，并再次存入用于第二輪攻擊，加上上一輪未從BvaultsStrategy取出的部分，此時，BvaultsStrategy轉入Alpaca借貸資金池的數額就變成了8,016,006.1BUSD。

攻擊者重復操作，最終將7,806,580.4BUSD返還給閃電貸，造成近1,100萬美元的損失。

bEarnFi在復盤此次攻擊事件時寫道：務必復核所有的產品代碼，由于近期DeFi安全事件頻繁發生，未來的工作重心將從創新調整到增強安全上來。?

事實上，每次DeFi安全事件發生后，區塊鏈安全公司PeckShield「派盾」都會警示協議開發者引以為戒，在協議上線前對代碼進行審計和研究，在攻擊事件發生后自查代碼，防患于未然，但說一千道一萬都不及遭到損失數百上千萬美元的教訓來得深刻。

安全是DeFi生態愈發繁榮的前提，也是一切創新創造的根本，不要等到造成損失才審視安全的重要性。

Tags：USDBUSDBEAVAULT怎么挖usdt幣BUSD價格ALGOBEARTOPDOG Vault (NFTX)

火幣APP下載