北京时间 2021 年 5 月 16 日晚上九点半左右,PeckShield「派盾」预警监测到,跨链智能收益与流动性聚合器 bEarn Fi 遭到攻击,损失近 1,100 万美元。
PeckShield「派盾」安全人员追踪和分析发现,此次攻击始于 bEarn Fi 机枪池(Vault)代码存在的「小问题」,以下是攻击细节分析。
值得注意的是,此次攻击的本金是从 Cream Finance 的闪电贷借来的。
攻击者从 Cream Finance 闪电贷借出 7,804,239.1 BUSD;
接着,攻击者创建的合约将所借 BUSD 存入 BvaultsBank 后,这些 BUSD 立即存至 BvaultsStrategy 策略中,随即转存入 Alpaca 借贷资金池,此时,攻击者可获得借贷资金池返还给的 ibBUSD 合成资产作为用户的抵押凭证
DeFi 协议 bEarn Fi 表示将分为两个阶段对此前被攻击损失的近 1086 万 BUSD 进行补偿。目前进行第一阶段, bEarn Fi 更新了界面,用户可通过访问 bEarn Fi,连接钱包点击提款按钮以领取赔偿。第二阶段将在日后进行,团队需要时间来为用户损失的另一部分资金建立赔偿系统。团队将按照承诺按总额的 105%补偿漏洞受害者的巨额资金损失,但团队表示目前没有足够的经济能力立即补偿,建议使用剩余的 DAO 资金以及该团队的未来薪金和运营资金来补偿用户损失。
\u2028PeckShield派盾安全人员快速分析和定位到此次攻击源于 bEarn Fi 中 BvaultsBank 和 BvaultsStrategy 策略的资产面额不匹配导致的。具体来说,攻击者将 BUSD 存入 bEarn Fi 的 Vault (机枪池)后,退出时本应提取的是以 BvaultsBank 提款逻辑为准的 BUSD,但实际获得的是以 BvaultsStrategy 提取逻辑为准的计息的 ibBUSD,造成协议损失近 1,100 万美元。换句话说,例如你去银行提取 100 元人民币,而银行给你的是 100 美元。
5月16日消息,PeckShield"派盾"预警显示,跨链智能收益与流动性聚合器bEarn Fi遭到攻击,损失近1100万美元,投资者请谨慎投资。
