bEarn Fi 黑客攻击始末:代码现“小”问题轻松得手1100 万美元
北京时间 2021 年 5 月 16 日晚上九点半左右,PeckShield「派盾」预警监测到,跨链智能收益与流动性聚合器 bEarn Fi 遭到攻击,损失近 1,100 万美元。
PeckShield「派盾」安全人员追踪和分析发现,此次攻击始于 bEarn Fi 机枪池(Vault)代码存在的「小问题」,以下是攻击细节分析。
值得注意的是,此次攻击的本金是从 Cream Finance 的闪电贷借来的。
攻击者从 Cream Finance 闪电贷借出 7,804,239.1 BUSD;
接着,攻击者创建的合约将所借 BUSD 存入 BvaultsBank 后,这些 BUSD 立即存至 BvaultsStrategy 策略中,随即转存入 Alpaca 借贷资金池,此时,攻击者可获得借贷资金池返还给的 ibBUSD 合成资产作为用户的抵押凭证