北京时间2021年5月16日晚上九点半左右,PeckShield「派盾」预警监测到,跨链智能收益与流动性聚合器bEarnFi遭到攻击,损失近1,100万美元。
PeckShield「派盾」安全人员追踪和分析发现,此次攻击始于bEarnFi机池代码存在的「小问题」,以下是攻击细节分析。
值得注意的是,此次攻击的本金是从CreamFinance的闪电贷借来的。
攻击者从CreamFinance闪电贷借出7,804,239.1BUSD;
接着,攻击者创建的合约将所借BUSD存入BvaultsBank后,这些BUSD立即存至BvaultsStrategy策略中,随即转存入Alpaca借贷资金池,此时,攻击者可获得借贷资金池返还给的ibBUSD合成资产作为用户的抵押凭证。当退出时,用户可以凭借该凭证赎回抵押在借贷资金池内的本金及其抵押期内所产生的利息。在这一步中,AlpacaVault铸造了7,598,066.6ibBUSD返还至BvaultsStrategy;
合约利用所铸造的7,598,066.6ibBUSD通过AlpacaFairLaunch进行挖矿;
当攻击者合约从BvaultsBank提取7,804,239.1BUSD时,以BvaultsStrategy提取逻辑为准,按照ibBUSD的价格来换算,而iBUSD的价格高于BUSD,则7,804,239.1ibBUSD相当于8,016,006.1BUSD,凭空多出20多万BUSD。
值得注意的是,攻击者合约只能从bVaultsBank取出其中7,804,239.1BUSD,并再次存入用于第二轮攻击,加上上一轮未从BvaultsStrategy取出的部分,此时,BvaultsStrategy转入Alpaca借贷资金池的数额就变成了8,016,006.1BUSD。
攻击者重复操作,最终将7,806,580.4BUSD返还给闪电贷,造成近1,100万美元的损失。
bEarnFi在复盘此次攻击事件时写道:务必复核所有的产品代码,由于近期DeFi安全事件频繁发生,未来的工作重心将从创新调整到增强安全上来。?
事实上,每次DeFi安全事件发生后,区块链安全公司PeckShield「派盾」都会警示协议开发者引以为戒,在协议上线前对代码进行审计和研究,在攻击事件发生后自查代码,防患于未然,但说一千道一万都不及遭到损失数百上千万美元的教训来得深刻。
安全是DeFi生态愈发繁荣的前提,也是一切创新创造的根本,不要等到造成损失才审视安全的重要性。
标签:USDBUSDVAULTULTwstUSDT币BUSD价格PASTA Vault (NFTX)Yearn Compounding veCRV yVault
链闻消息,波卡智能合约平台CloverFinance将推出Kusama平行链Sakura。CloverFinance表示,Sakura是专门为Kusama上的跨链DeFi生态系统构建的、基于Su.
经Odaily星球日报不完全统计,5月10日-5月16日当周公布的海内外区块链融资事件共49起;已披露的融资事件总金额约5.9亿美元,数额相较上周有一定回升.
尊敬的LBank蓝贝壳用户:?由于XCH需要节点升级,LBank蓝贝壳已暂停XCH的充值业务,具体恢复时间将以公告形式另行通知。暂停期间给您带来的不便,敬请谅解.
亲爱的用户: 由于杠杆ETF产品ADA3S、MATIC3S、DODO3L、ENJ3L、REEF3L、XEM3L、KAVA3L、SHIB3L的净值已低于或接近0.050USDT.
自从比特币价格屡创新高,市值突破1万亿美金后,整个矿圈都处于躁动之中。从矿机到矿场,再到以挖矿为主营业务的上市公司股票,都开始腾飞之势.
官方消息,DeFi协议bEarnFi表示,bVaults的BUSD-Alpaca策略被利用,并将池中10,859,319BUSD消耗.