收藏本站 网站导航 开放平台 Friday, March 29, 2024 星期五
  • 微信

币价暴跌遇上黑客盗窃,越安全的协议才能活的越久

来源 中金网 05-20 16:30
摘要: 币跌了,或许有一天还能涨回来;但币丢了,或许就永远失去了。5月19日,加密市场遭

  币跌了,或许有一天还能涨回来;但币丢了,或许就永远失去了。5月19日,加密市场遭遇了史上最大规模的暴跌,万亿美元市值蒸发,惨烈程度超过了2020年的“3·12”。如果你被市场暴击,然后又被黑客盗币,那就真的更加不幸了。现实就是,在这场暴跌的同时,发生了数起规模千万甚至亿美金级别的黑客事件。1.5月16日,跨链智能收益协议bEarn Fi遭受黑客攻击,损失1100万枚BUSD2.5月19日,BSC借贷协议Venus被人为导致大额清算,出现1亿多美元的坏账3. 5月20日,BSC生态DeFi收益聚合器PancakeBunny遭黑客闪电贷攻击,损失约4500万美元每周,甚至每天都有1个项目倒下。币安智能链最近成为了掠食者猎物。黑客开始在这个复制以太坊代码的平台上享用大餐。今天介绍的是最近黑客被吞食的一个协议——bEarn Fi,损失价值大约1100万美元的代币。以下内容摘自Peckshield和bEarn攻击分析。从2021年5月16日上午10:36:20 + UTC开始,BearnFi的BvaultsBank合约被黑客利用,大约1100万美元的资金从资金池中流失。这起事件的原因是由于内部提款逻辑中的错误,该错误不一致地读取了相同的输入金额,但BvaultsBank与关联策略BvaultsStrategy之间的资产面额不同。BvaultsBank的提款逻辑假定提款金额以BUSD计价,而BvaultsStrategy的提款逻辑假定提款金额以ibBUSD计价。但是,ibBUSD是带息的代币,比BUSD贵。1.通过闪电贷从CREAM借入7,804,239.111784605253208456枚BUSD, 在最后一步将这笔贷款还上并支付必要的手续费来覆盖闪电贷的成本。2.将借入的BUSD资金存入BvaultsBank,并立即发送到相关的BvaultsStrategy策略,然后发送到Alpaca Vault以获取收益。 由于上述这笔存款,Alpaca Vault同时铸造7,598,066.589501626344403426枚ibBUSD,并返回到BvaultsStrategy。3.通过Alpaca FairLaunch,用收到的 7,598,066.589501626344403426枚ibBUSD进行挖矿。4.将上面存入7,804,239.111784605253208533枚BUSD从BvaultsBank取出,然而这被错误地解释为提取7,804,239.111784605253208533枚ibBUSD,相当于8,016,006.09792806917101481枚BUSD。5.接下来,该用户重复操作,仍将7,804,239.111784605253208533 BUSD存入BvaultsStrategy,再依次存入BvaultsBank。 但是,由于上一轮有此前剩余的资金,BvaultsStrategy会向用户记入8,016,006.09792806917101481枚BUSD,这笔钱再次通过Alpaca进行挖矿。6.重复上述操作,持续积累,直到最后耗尽池中的资金。7.最后一步,偿还在第一步中通过闪电贷借入的 7,806,580.383518140634784418枚BUSD。攻击者通过上述攻击获得的资金最初存放在这个钱包中:https://bscscan.com/address/0x47f341d896b08daacb344d9021f955247e50d089。BSC复制的代码为很多寻找协议漏洞的黑客提供了财富机会。当我们看到BSC生态上的TVL快速上涨和跌落,显然时间才是最昂贵的安全审计手段。活的越长意味着越安全,反之,越安全意味着可以活的越长。

  本文链接:https://www.8btc.com/article/6637644

  转载请注明文章出处

免责声明:中金网发布此信息目的在于传播更多信息,与本网站立场无关。中金网不保证该信息的准确性、真实性、完整性、有效性等。相关信息并未经过本网站证实,不构成任何投资建议,据此操作,风险自担。