币跌了,或许有一天还能涨回来;但币丢了,或许就永远失去了。
5月19日,加密市场遭遇了史上**规模的暴跌,万亿美元市值蒸发,惨烈程度超过了2019年的“3·12”。
如果你被市场暴击,然后又被黑客盗币,那就真的更加不幸了。
现实就是,在这场暴跌的同时,发生了数起规模千万甚至亿美金级别的黑客事件。
1.5月16日,跨链智能收益协议bEarn Fi遭受黑客攻击,损失1100万枚BUSD
2.5月19日,BSC借贷协议Venus被人为导致大额清算,出现1亿多美元的坏账
3. 5月20日,BSC生态DeFi收益聚合器PancakeBunny遭黑客闪电贷攻击,损失约4500万美元
每周,甚至每天都有1个项目倒下。
币安智能链最近成为了掠食者猎物。黑客开始在这个**以太坊代码的平台上享用大餐。
今天介绍的是最近黑客被吞食的一个协议——bEarn Fi,损失价值大约1100万美元的代币。
以下内容摘自Peckshield和bEarn攻击分析。
从2021年5月16日上午10:36:20 + UTC开始,BearnFi的Bvaultank合约被黑客利用,大约1100万美元的资金从资金池中流失。
这起事件的原因是由于内部提款逻辑中的错误,该错误不一致地读取了相同的输入金额,但Bvaultank与关联策略BvaultsStrategy之间的资产面额不同。
Bvaultank的提款逻辑假定提款金额以BUSD计价,而BvaultsStrategy的提款逻辑假定提款金额以ibBUSD计价。
但是,ibBUSD是带息的代币,比BUSD贵。
1.通过闪电贷从CREAM借入7,804,239.111784605253208456枚BUSD, 在**一步将这笔贷款还上并支付必要的手续费来覆盖闪电贷的成本。
2.将借入的BUSD资金存入Bvaultank,并立即发送到相关的BvaultsStrategy策略,然后发送到Alpaca Vault以获取收益。 由于上述这笔存款,Alpaca Vault同时铸造7,598,066.589501626344403426枚ibBUSD,并返回到BvaultsStrategy。
3.通过Alpaca FairLaunch,用收到的 7,598,066.589501626344403426枚ibBUSD进行挖矿。
4.将上面存入7,804,239.111784605253208533枚BUSD从Bvaultank取出,然而这被错误地解释为提取7,804,239.111784605253208533枚ibBUSD,相当于8,016,006.09792806917101481枚BUSD。
5.接下来,该用户重复操作,仍将7,804,239.111784605253208533 BUSD存入BvaultsStrategy,再依次存入Bvaultank。 但是,由于上一轮有此前剩余的资金,BvaultsStrategy会向用户记入8,016,006.09792806917101481枚BUSD,这笔钱再次通过Alpaca进行挖矿。
6.重复上述操作,持续积累,直到**耗尽池中的资金。
7.**一步,偿还在第一步中通过闪电贷借入的 7,806,580.383518140634784418枚BUSD。
攻击者通过上述攻击获得的资金最初存放在这个钱包中:https://bscscan.com/address/0x47f341d896b08daacb344d9021f955247e50d089。
BSC**的代码为很多寻找协议漏洞的黑客提供了财富机会。当我们看到BSC生态上的TVL快速上涨和跌落,显然时间才是最昂贵的安全审计手段。
活的越长意味着越安全,反之,越安全意味着可以活的越长。
文章链接:https://www.btchangqing.cn/261875.html
更新时间:2021年05月20日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。