北京时间2021年5月16日晚上九点半左右,PeckShield「派盾」预警监测到,跨链智能收益与流动性聚合器bEarnFi遭到攻击,损失近1,100万美元。
PeckShield「派盾」安全人员追踪和分析发现,此次攻击始于bEarnFi机池代码存在的「小问题」,以下是攻击细节分析。
VentureFlow宣布支持波卡智能合约平台Moonbeam:5月24日消息,VentureFlow宣布将为Moonbeam提供一站式Web3 Saas服务工具和解决方案,帮助其更高效地管理生态项目和融资需求,提高生态项目曝光度并加速生态发展。VentureFlow是专为Web3 VC 设计的SaaS工具平台,包含提供项目融资信息、投前投后管理,到可视化投资回报分析的一站式服务,旨在为投资人提供更便捷的投资管理及团队协作工具。
Moonbeam是一个智能合约平台,用于构建跨链互连应用程序,能够访问任何链上的用户、服务等。通过将来自以太坊、Cosmos、波卡等功能整合到一个平台中,Moonbeam解决了当今用户体验碎片化的问题,解锁了互操作性。[2023/5/24 15:23:07]
值得注意的是,此次攻击的本金是从CreamFinance的闪电贷借来的。
BeamX治理通证将于10月21日发布,可用Beam质押获得:10月8日消息,Beam团队官方宣布,BeamX发行的初始阶段将从10月21日启动,从Beam桌面和Web钱包开始。从安全审计到钱包发展和用户界面的改进,此次发布将作为$BEAMX加密资产的第一个分配机制,Beam用户可以用他们的$BEAM来获得$BEAMX。
BeamX是正在构建的加密DeFi生态系统的治理通证,以及各种可以在Beam上运行的应用程序,包括稳定币、借贷和去中心化交易所。这也代表了Beam去中心化的巨大转变,从一个基础模型到一个成熟的DAO。通过参与各种生态系统活动,为DAO治理的DeFi应用程序提供流动性或参与治理过程,可以获得BeamX。[2021/10/8 20:13:46]
攻击者从CreamFinance闪电贷借出7,804,239.1BUSD;
SushiSwap发起新提案:与Moonbeam Network在新区块链上开设分支:SushiChef今日发推称,请务必投票支持我们与Moonbeam Network合作的最新提案,在一个新的区块链上开设我们的第一个分支。目前,我们还有另一个团队正在Serum项目上工作,在这两种情况下都不需要资金转移。它们将作为独立实体存在,并使新资产能够在本地进行交易,我们将尽快公布更多细节。[2020/10/18]
接着,攻击者创建的合约将所借BUSD存入BvaultsBank后,这些BUSD立即存至BvaultsStrategy策略中,随即转存入Alpaca借贷资金池,此时,攻击者可获得借贷资金池返还给的ibBUSD合成资产作为用户的抵押凭证。当退出时,用户可以凭借该凭证赎回抵押在借贷资金池内的本金及其抵押期内所产生的利息。在这一步中,AlpacaVault铸造了7,598,066.6ibBUSD返还至BvaultsStrategy;
合约利用所铸造的7,598,066.6ibBUSD通过AlpacaFairLaunch进行挖矿;
当攻击者合约从BvaultsBank提取7,804,239.1BUSD时,以BvaultsStrategy提取逻辑为准,按照ibBUSD的价格来换算,而iBUSD的价格高于BUSD,则7,804,239.1ibBUSD相当于8,016,006.1BUSD,凭空多出20多万BUSD。
值得注意的是,攻击者合约只能从bVaultsBank取出其中7,804,239.1BUSD,并再次存入用于第二轮攻击,加上上一轮未从BvaultsStrategy取出的部分,此时,BvaultsStrategy转入Alpaca借贷资金池的数额就变成了8,016,006.1BUSD。
攻击者重复操作,最终将7,806,580.4BUSD返还给闪电贷,造成近1,100万美元的损失。
bEarnFi在复盘此次攻击事件时写道:务必复核所有的产品代码,由于近期DeFi安全事件频繁发生,未来的工作重心将从创新调整到增强安全上来。?
事实上,每次DeFi安全事件发生后,区块链安全公司PeckShield「派盾」都会警示协议开发者引以为戒,在协议上线前对代码进行审计和研究,在攻击事件发生后自查代码,防患于未然,但说一千道一万都不及遭到损失数百上千万美元的教训来得深刻。
安全是DeFi生态愈发繁荣的前提,也是一切创新创造的根本,不要等到造成损失才审视安全的重要性。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。