幣跌了,或許有一天還能漲回來;但幣丟了,或許就永遠失去了。
5月19日,加密市場遭遇了史上最大規模的暴跌,萬億美元市值蒸發,慘烈程度超過了2020年的“3·12”。
如果你被市場暴擊,然後又被黑客盜幣,那就真的更加不幸了。
現實就是,在這場暴跌的同時,發生了數起規模千萬甚至億美金級別的黑客事件。
1.5月16日,跨鏈智能收益協議bEarn Fi遭受黑客攻擊,損失1100萬枚BUSD
2.5月19日,BSC借貸協議Venus被人為導致大額清算,出現1億多美元的壞賬
3. 5月20日,BSC生態DeFi收益聚合器PancakeBunny遭黑客閃電貸攻擊,損失約4500萬美元
每周,甚至每天都有1個項目倒下。
幣安智能鏈最近成為了掠食者獵物。黑客開始在這個複製以太坊代碼的平台上享用大餐。
今天介紹的是最近黑客被吞食的一個協議——bEarn Fi,損失價值大約1100萬美元的代幣。
以下內容摘自Peckshield和bEarn攻擊分析。
從2021年5月16日上午10:36:20 + UTC開始,BearnFi的BvaultsBank合約被黑客利用,大約1100萬美元的資金從資金池中流失。
這起事件的原因是由於內部提款邏輯中的錯誤,該錯誤不一致地讀取了相同的輸入金額,但BvaultsBank與關聯策略BvaultsStrategy之間的資產面額不同。
BvaultsBank的提款邏輯假定提款金額以BUSD計價,而BvaultsStrategy的提款邏輯假定提款金額以ibBUSD計價。
但是,ibBUSD是帶息的代幣,比BUSD貴。
1.通過閃電貸從CREAM借入7,804,239.111784605253208456枚BUSD, 在最後一步將這筆貸款還上並支付必要的手續費來覆蓋閃電貸的成本。
2.將借入的BUSD資金存入BvaultsBank,並立即發送到相關的BvaultsStrategy策略,然後發送到Alpaca Vault以獲取收益。 由於上述這筆存款,Alpaca Vault同時鑄造7,598,066.589501626344403426枚ibBUSD,並返回到BvaultsStrategy。
3.通過Alpaca FairLaunch,用收到的 7,598,066.589501626344403426枚ibBUSD進行挖礦。
4.將上面存入7,804,239.111784605253208533枚BUSD從BvaultsBank取出,然而這被錯誤地解釋為提取7,804,239.111784605253208533枚ibBUSD,相當於8,016,006.09792806917101481枚BUSD。
5.接下來,該用戶重複操作,仍將7,804,239.111784605253208533 BUSD存入BvaultsStrategy,再依次存入BvaultsBank。 但是,由於上一輪有此前剩餘的資金,BvaultsStrategy會向用戶記入8,016,006.09792806917101481枚BUSD,這筆錢再次通過Alpaca進行挖礦。
6.重複上述操作,持續積累,直到最後耗盡池中的資金。
7.最後一步,償還在第一步中通過閃電貸借入的 7,806,580.383518140634784418枚BUSD。
攻擊者通過上述攻擊獲得的資金最初存放在這個錢包中:https://bscscan.com/address/0x47f341d896b08daacb344d9021f955247e50d089。
BSC複製的代碼為很多尋找協議漏洞的黑客提供了財富機會。當我們看到BSC生態上的TVL快速上漲和跌落,顯然時間才是最昂貴的安全審計手段。
活的越長意味着越安全,反之,越安全意味着可以活的越長。
本文鏈接:https://www.8btc.com/article/6637644
轉載請註明文章出處