USD:bEarn Fi 黑客攻击始末：代码现“小”问题轻松得手1100 万美元_ULT

北京时间2021年5月16日晚上九点半左右，PeckShield「派盾」预警监测到，跨链智能收益与流动性聚合器bEarnFi遭到攻击，损失近1,100万美元。

PeckShield「派盾」安全人员追踪和分析发现，此次攻击始于bEarnFi机池代码存在的「小问题」，以下是攻击细节分析。

Binance将于6月12日15时对BNB Beacon Chain进行预计一小时的钱包维护:6月8日消息，据官方公告显示，Binance 将于北京时间 6 月 12 日 15 时对 BNB Beacon Chain（BEP2）进行钱包维护，预计需要 1 小时时间。钱包维护期间，BNB Beacon Chain（BEP2）的数字资产/Token 交易将不受影响，Binance 将于 2023 年 06 月 12 日 14:55 暂停 BNB Beacon Chain（BEP2）的充值和提现业务。[2023/6/8 21:23:24]

值得注意的是，此次攻击的本金是从CreamFinance的闪电贷借来的。

安全机构：初步分析显示Beanstalk Farms损失约为1.82亿美元:金色财经消息，安全机构派盾在推特上表示，其初步分析显示，Beanstalk Farms的损失约为1.82亿美元，包括79,238,241 BEAN3CRV-f、1,637,956 BEANLUSD-f、36,084,584 BEAN和0.54 UNI-V2_WETH_BEAN。

此前消息，算法稳定币项目Beanstalk Farms遭黑客攻击，黑客获利超过8000万美元（协议损失可能更多），包括24830枚ETH和3600万枚BEAN。[2022/4/18 14:30:00]

攻击者从CreamFinance闪电贷借出7,804,239.1BUSD；

Beam将进行FierceFermion硬分叉升级:官方消息，Beam 将于区块高度 1280000 进行 Fierce Fermion 硬分叉升级。该版本的更新包括优化了地址逻辑使得发送和接收的操作更简便，以及区块同步与节点选择的体验更加友好。该版本将在 iOS 和 Android 的移动端版本钱包同步更新。Beam 表示，本次更新需要确定更新前最后一笔交易在 1 小时前完成，并且保证节点区块同步已完成，否则更新需要额外的恢复程序。[2021/6/8 23:22:27]

接着，攻击者创建的合约将所借BUSD存入BvaultsBank后，这些BUSD立即存至BvaultsStrategy策略中，随即转存入Alpaca借贷资金池，此时，攻击者可获得借贷资金池返还给的ibBUSD合成资产作为用户的抵押凭证。当退出时，用户可以凭借该凭证赎回抵押在借贷资金池内的本金及其抵押期内所产生的利息。在这一步中，AlpacaVault铸造了7,598,066.6ibBUSD返还至BvaultsStrategy；

合约利用所铸造的7,598,066.6ibBUSD通过AlpacaFairLaunch进行挖矿；

当攻击者合约从BvaultsBank提取7,804,239.1BUSD时，以BvaultsStrategy提取逻辑为准，按照ibBUSD的价格来换算，而iBUSD的价格高于BUSD，则7,804,239.1ibBUSD相当于8,016,006.1BUSD，凭空多出20多万BUSD。

值得注意的是，攻击者合约只能从bVaultsBank取出其中7,804,239.1BUSD，并再次存入用于第二轮攻击，加上上一轮未从BvaultsStrategy取出的部分，此时，BvaultsStrategy转入Alpaca借贷资金池的数额就变成了8,016,006.1BUSD。

攻击者重复操作，最终将7,806,580.4BUSD返还给闪电贷，造成近1,100万美元的损失。

bEarnFi在复盘此次攻击事件时写道：务必复核所有的产品代码，由于近期DeFi安全事件频繁发生，未来的工作重心将从创新调整到增强安全上来。?

事实上，每次DeFi安全事件发生后，区块链安全公司PeckShield「派盾」都会警示协议开发者引以为戒，在协议上线前对代码进行审计和研究，在攻击事件发生后自查代码，防患于未然，但说一千道一万都不及遭到损失数百上千万美元的教训来得深刻。

安全是DeFi生态愈发繁荣的前提，也是一切创新创造的根本，不要等到造成损失才审视安全的重要性。

标签：USDBUSDVAULTULTusdn币历史最高多少BUSDXVAULTS币EthereumVault

比特币最新价格热门资讯