bEarn Fi 黑客攻击始末：代码现“小”问题轻松得手1100 万美元

北京时间2021年5月16日晚上九点半左右，PeckShield「派盾」预警监测到，跨链智能收益与流动性聚合器bEarnFi遭到攻击，损失近1,100万美元。

Binance：已完成BNB Beacon Chain钱包维护，存取款服务已恢复:6月12日消息，据官方消息，Binance 已完成 BNB 信标链 (BEP2) 网络的钱包维护，存款和取款已经恢复。[2023/6/12 21:31:26]

PeckShield「派盾」安全人员追踪和分析发现，此次攻击始于bEarnFi机池代码存在的「小问题」，以下是攻击细节分析。

值得注意的是，此次攻击的本金是从CreamFinance的闪电贷借来的。

Arrington Capital为Moonbeam生态系统推出1亿美元的成长基金:金色财经报道，管理超过16亿美元的加密投资公司Arrington Capital与Moonbeam基金会合作，为Polkadot的 EVM 兼容 Moonbeam 平行链设立了一个新的 1 亿美元生态系统基金。Arrington Moonbeam 增长基金将为 Moonbeam 网络上的新公司和协议提供资金，针对广泛的垂直领域，包括DeFi市场、NFT和游戏。该基金已经为两个未披露的项目部署了资金。

Moonbeam 于 1 月启动，目前有 100 个项目正在运行或准备启动。据该网络称，在前五个月，Moonbeam 用户完成了超过 650 万笔交易，开发人员部署了超过 5,000 个智能合约。

上个月，该公司从其网站上清理了一个新的 1 亿美元基金，该基金与 Terra 收益生成协议 Anchor 相关，该协议因受危机影响的美元稳定币而遭受重大损失。Arrington表示，移除是由于需求减少。（Coindesk）[2022/6/9 4:12:12]

攻击者从CreamFinance闪电贷借出7,804,239.1BUSD；

Beam首席执行官：基于对隐私的需求，最终一切都将转移到机密DeFi:匿名币Beam在6月29日进行了第二次硬分叉升级，以启用Beam上的“机密DeFi”（Confidential DeFi）。Beam首席执行官Alexander Zaidelson在接受采访时表示，机密DeFi是“一个金融服务的生态系统，具有完全的机密性、巨大的可用性和可选择的可审核性”。Zaidelson承认Compound和Maker等其他DeFi服务是“可靠的金融工具”。但他驳斥了最近的DeFi热潮与2017年ICO热潮之间的比较，并将ICO描述为“一个有缺陷的概念，人们相信入侵的承诺并损失了金钱”。他同时也指出了其他DeFi服务与Beam的DeFi的不同之处。Zaidelson表示：“它们建立在以太坊的基础上，这是隐私的对立面。Beam 机密DeFi将提供改进的功能，加上财务隐私，所有这些都具有良好的可用性和审计交易的能力。”当被问及Beam的DeFi是否针对不同于COMP和Maker的受众时，Zaidelson回答说：“每个人都需要隐私，因此最终，一切都会转移到机密的DeFi。”（Cointelegraph）[2020/7/5]

接着，攻击者创建的合约将所借BUSD存入BvaultsBank后，这些BUSD立即存至BvaultsStrategy策略中，随即转存入Alpaca借贷资金池，此时，攻击者可获得借贷资金池返还给的ibBUSD合成资产作为用户的抵押凭证。当退出时，用户可以凭借该凭证赎回抵押在借贷资金池内的本金及其抵押期内所产生的利息。在这一步中，AlpacaVault铸造了7,598,066.6ibBUSD返还至BvaultsStrategy；

合约利用所铸造的7,598,066.6ibBUSD通过AlpacaFairLaunch进行挖矿；

当攻击者合约从BvaultsBank提取7,804,239.1BUSD时，以BvaultsStrategy提取逻辑为准，按照ibBUSD的价格来换算，而iBUSD的价格高于BUSD，则7,804,239.1ibBUSD相当于8,016,006.1BUSD，凭空多出20多万BUSD。

值得注意的是，攻击者合约只能从bVaultsBank取出其中7,804,239.1BUSD，并再次存入用于第二轮攻击，加上上一轮未从BvaultsStrategy取出的部分，此时，BvaultsStrategy转入Alpaca借贷资金池的数额就变成了8,016,006.1BUSD。

攻击者重复操作，最终将7,806,580.4BUSD返还给闪电贷，造成近1,100万美元的损失。

bEarnFi在复盘此次攻击事件时写道：务必复核所有的产品代码，由于近期DeFi安全事件频繁发生，未来的工作重心将从创新调整到增强安全上来。?

事实上，每次DeFi安全事件发生后，区块链安全公司PeckShield「派盾」都会警示协议开发者引以为戒，在协议上线前对代码进行审计和研究，在攻击事件发生后自查代码，防患于未然，但说一千道一万都不及遭到损失数百上千万美元的教训来得深刻。

安全是DeFi生态愈发繁荣的前提，也是一切创新创造的根本，不要等到造成损失才审视安全的重要性。

标签：BEAUSDBUSDDEFISUSHIBEARUSDXABUSDDEFILANCER

欧易交易所app下载热门资讯