bEarn Fi 黑客攻擊始末：代碼現“小”問題輕松得手1100 萬美元_BUSD

北京時間2021年5月16日晚上九點半左右，PeckShield「派盾」預警監測到，跨鏈智能收益與流動性聚合器bEarnFi遭到攻擊，損失近1,100萬美元。

PeckShield「派盾」安全人員追蹤和分析發現，此次攻擊始于bEarnFi機槍池代碼存在的「小問題」，以下是攻擊細節分析。

值得注意的是，此次攻擊的本金是從CreamFinance的閃電貸借來的。

Binance將于12月6日15時開始對BNB Beacon Chain (BEP2)網絡進行錢包維護:據官方公告，Binance將于12月6日15時開始對BNB Beacon Chain (BEP2) 網絡進行錢包維護，預計需要兩小時維護。錢包維護期間，BEP2 Token交易不受影響，充提業務將于14時55分起暫停，維護完成后恢復。[2022/12/5 21:23:23]

攻擊者從CreamFinance閃電貸借出7,804,239.1BUSD；

Moonbeam和Moonriver通過緊急升級已解決白帽黑客披露的安全問題:6月1日消息，波卡生態智能合約平臺Moonbeam Network宣布Moonbeam和Moonriver通過runtime1503和1504緊急升級，已解決由獨立白帽黑客通過Immunefi漏洞賞金計劃披露的安全問題。

Moonbeam團隊于5月27日收到一份Immunefi錯誤報告，涉及Frontier（Moonbeam幫助創建的波卡生態系統內提供核心以太坊兼容性功能的Substrate pallet）中的潛在安全漏洞。runtime1503雖然消除了該漏洞，但它引入了一個意外錯誤，該錯誤在晚些時候使用runtime1504進行了修補。[2022/6/1 3:55:27]

接著，攻擊者創建的合約將所借BUSD存入BvaultsBank后，這些BUSD立即存至BvaultsStrategy策略中，隨即轉存入Alpaca借貸資金池，此時，攻擊者可獲得借貸資金池返還給的ibBUSD合成資產作為用戶的抵押憑證。當退出時，用戶可以憑借該憑證贖回抵押在借貸資金池內的本金及其抵押期內所產生的利息。在這一步中，AlpacaVault鑄造了7,598,066.6ibBUSD返還至BvaultsStrategy；

API3推出智能合約隨機數生成器，可在Avalanche、Moonbeam等區塊鏈上使用:5月3日消息，一種依賴量子力學來生成由區塊鏈技術支持的智能合約驅動數據集的隨機數生成器已經在十幾個加密貨幣協議上推出。

API3與澳大利亞國立大學量子光學組的一組研究人員合作，將其新產品ANU GRNG稱為第一個“真正的”智能合約隨機數生成器。

API3表示，公司正在啟動的13個區塊鏈中，有10個還沒有可用的隨機數生成器。其中一些協議使用不使用量子技術的隨機數生成器，這意味著它們的數據集是有限的，或者用行業術語來說是“偽隨機數”。

新服務可在包括Avalanche、Fantom、Moonbeam、Polygon和RSK在內的區塊鏈上使用，并計劃在未來進行更多集成。

該公司并不靠隨機數生成器盈利，而是將其引入其他產品線，比如預言機解決方案和數據集成服務，包括一個依賴于質押原生代幣運行的驗證池。（Blockworks）[2022/5/4 2:48:24]

合約利用所鑄造的7,598,066.6ibBUSD通過AlpacaFairLaunch進行挖礦；

當攻擊者合約從BvaultsBank提取7,804,239.1BUSD時，以BvaultsStrategy提取邏輯為準，按照ibBUSD的價格來換算，而iBUSD的價格高于BUSD，則7,804,239.1ibBUSD相當于8,016,006.1BUSD，憑空多出20多萬BUSD。

值得注意的是，攻擊者合約只能從bVaultsBank取出其中7,804,239.1BUSD，并再次存入用于第二輪攻擊，加上上一輪未從BvaultsStrategy取出的部分，此時，BvaultsStrategy轉入Alpaca借貸資金池的數額就變成了8,016,006.1BUSD。

攻擊者重復操作，最終將7,806,580.4BUSD返還給閃電貸，造成近1,100萬美元的損失。

bEarnFi在復盤此次攻擊事件時寫道：務必復核所有的產品代碼，由于近期DeFi安全事件頻繁發生，未來的工作重心將從創新調整到增強安全上來。?

事實上，每次DeFi安全事件發生后，區塊鏈安全公司PeckShield「派盾」都會警示協議開發者引以為戒，在協議上線前對代碼進行審計和研究，在攻擊事件發生后自查代碼，防患于未然，但說一千道一萬都不及遭到損失數百上千萬美元的教訓來得深刻。

安全是DeFi生態愈發繁榮的前提，也是一切創新創造的根本，不要等到造成損失才審視安全的重要性。

Tags：USDBUSDBEAULTPlutusDeFibusd幣有什么用SBEAR幣ULTGG

Pol幣