KUS:bEarn Fi 黑客攻击始末：代码现“小”问题轻松得手1100 万美元_usdt泰达币怎么赚钱的

北京时间2021年5月16日晚上九点半左右，PeckShield「派盾」预警监测到，跨链智能收益与流动性聚合器bEarnFi遭到攻击，损失近1,100万美元。

PeckShield「派盾」安全人员追踪和分析发现，此次攻击始于bEarnFi机池代码存在的「小问题」，以下是攻击细节分析。

Kusama网络上线提名池解决方案:5月31日消息，Kusama宣布随着runtime v0.9.22的发布，提名池已添加到Kusama runtime中。提名池是波卡NPoS系统的扩展解决方案，专门用于帮助具有较少代币的账户直接在中继链上质押，而不需要通过第三方服务。[2022/5/31 3:53:15]

值得注意的是，此次攻击的本金是从CreamFinance的闪电贷借来的。

攻击者从CreamFinance闪电贷借出7,804,239.1BUSD；

Kushti：Ergo上一笔含5000个输出的交易相当于以太坊上5000笔交易:据官方消息，上周五的AMA直播中，Ergo联合创始人兼核心开发者Alex Chepurnoy（又名Kushti）答社区问时阐述了Ergo 如何能够处理一笔含5000个输出的交易，而在以太坊上这需要 5000 笔单独的交易。这得益于Ergo的eUTxO 模型允许这种大的网络吞吐量。

直播中，Ergo战略顾问Dan代社区成员向Kushti问道：“我听说Ergo同时实现了5000笔交易，这是真的吗？”。Kushti答道：“实际上，那是一笔交易，只是有5000个输出而已，它有点类似于以太坊上的5000笔交易。”Kushti还表示“谈到TPS，似乎总是没意义，一笔含有5000个输出的交易可以取代5000笔交易。如果交易实现的方式完全不同，你要如何比较这些交易呢？”[2022/1/26 9:15:11]

接着，攻击者创建的合约将所借BUSD存入BvaultsBank后，这些BUSD立即存至BvaultsStrategy策略中，随即转存入Alpaca借贷资金池，此时，攻击者可获得借贷资金池返还给的ibBUSD合成资产作为用户的抵押凭证。当退出时，用户可以凭借该凭证赎回抵押在借贷资金池内的本金及其抵押期内所产生的利息。在这一步中，AlpacaVault铸造了7,598,066.6ibBUSD返还至BvaultsStrategy；

Shiden Network以13.8万KSM报价赢得Kusama第三条平行链:据官方消息，Plasm先行网络Shiden Network已赢得了Kusama插槽的第三次拍卖，在众贷期间贡献了超13万8千 KSM。超过4300名用户参与了众贷，他们将获得SDN（Shiden 的原生代币）奖励。 此外，Astar 门户站将于7月启动， 在门户站里，用户可以选择Shiden平行链并使用以下功能：用于 SDN 代币的钱包；代币交易；dApp Staking；质押收集人；部署 dApp。[2021/7/6 0:30:50]

合约利用所铸造的7,598,066.6ibBUSD通过AlpacaFairLaunch进行挖矿；

当攻击者合约从BvaultsBank提取7,804,239.1BUSD时，以BvaultsStrategy提取逻辑为准，按照ibBUSD的价格来换算，而iBUSD的价格高于BUSD，则7,804,239.1ibBUSD相当于8,016,006.1BUSD，凭空多出20多万BUSD。

值得注意的是，攻击者合约只能从bVaultsBank取出其中7,804,239.1BUSD，并再次存入用于第二轮攻击，加上上一轮未从BvaultsStrategy取出的部分，此时，BvaultsStrategy转入Alpaca借贷资金池的数额就变成了8,016,006.1BUSD。

攻击者重复操作，最终将7,806,580.4BUSD返还给闪电贷，造成近1,100万美元的损失。

bEarnFi在复盘此次攻击事件时写道：务必复核所有的产品代码，由于近期DeFi安全事件频繁发生，未来的工作重心将从创新调整到增强安全上来。?

事实上，每次DeFi安全事件发生后，区块链安全公司PeckShield「派盾」都会警示协议开发者引以为戒，在协议上线前对代码进行审计和研究，在攻击事件发生后自查代码，防患于未然，但说一千道一万都不及遭到损失数百上千万美元的教训来得深刻。

安全是DeFi生态愈发繁荣的前提，也是一切创新创造的根本，不要等到造成损失才审视安全的重要性。

标签：DEFBUSDUSDKUSDEFX币RHOBUSDusdt泰达币怎么赚钱的CKUSD币

以太坊交易所热门资讯