北京时间2021年5月16日晚上九点半左右,PeckShield「派盾」预警监测到,跨链智能收益与流动性聚合器bEarnFi遭到攻击,损失近1,100万美元。
PeckShield「派盾」安全人员追踪和分析发现,此次攻击始于bEarnFi机池代码存在的「小问题」,以下是攻击细节分析。
去中心化数据平台Space and Time获得1000万美元种子轮融资:金色财经消息,去中心化数据平台Space and Time完成1000万美元种子轮融资,Framework Ventures领投,Digital Currency Group、Stratos、Samsung NEXT、IOSG Ventures和Alliance等参投。
据悉,Space and Time正在开发一种名为SQL证明的新型加密协议,用于管理和与数据库交互的结构化查询语言编程。该协议将允许区块链应用程序以分散、低成本和安全的方式快速分析。(CoinDesk)[2022/7/28 2:44:10]
值得注意的是,此次攻击的本金是从CreamFinance的闪电贷借来的。
Web3物联网经济网络peaq完成650万美元融资,Fundamental Labs领投:6月28日消息,基于Substrate的Web3物联网经济网络peaq宣布完成650万美元融资,Fundamental Labs领投,其他投资方包括HashKey Capital、GSR Markets、Delta VC、Mulana、Cypher Capital、GravityX、Waterdrip、Ceras和Master Ventures等。
peaq表示,将使用本轮融资筹集到的资金支持peaq网络的持续扩展,使得个人或组织能够从车辆、机器人和设备的去中心化应用中构建、管理和赚取收益。peaq是一个基于Substrate的、与波卡原生兼容的Layer1区块链,将把身份、访问和付款功能作为开发人员为物联网经济网络(Economy of Things,EOT)设计DApp的核心功能。[2022/6/28 1:36:59]
攻击者从CreamFinance闪电贷借出7,804,239.1BUSD;
Filament区块链物联网项目宣布A轮融资500万美元:Filament 宣布完成了500万美元的A轮融资,投资方是Bullpen Capital、Verizon风投和三星风投。这是电子消费产品巨头三星的下属投资部门三星风投第一次参与投资区块链行业。之前,三星风投因参与 IBM 的 ADEPT 项目而轰动一时。ADEPT 项目是利用比特币和以太坊网络来打造去中心化的物联网,IBM 与三星选择了三种协议:BitTorrent(文件分享)、以太坊(智能合约)和 TeleHash(p2p 信息发送系统),利用这三个协议来支撑 ADEPT 系统。[2018/4/8]
接着,攻击者创建的合约将所借BUSD存入BvaultsBank后,这些BUSD立即存至BvaultsStrategy策略中,随即转存入Alpaca借贷资金池,此时,攻击者可获得借贷资金池返还给的ibBUSD合成资产作为用户的抵押凭证。当退出时,用户可以凭借该凭证赎回抵押在借贷资金池内的本金及其抵押期内所产生的利息。在这一步中,AlpacaVault铸造了7,598,066.6ibBUSD返还至BvaultsStrategy;
合约利用所铸造的7,598,066.6ibBUSD通过AlpacaFairLaunch进行挖矿;
当攻击者合约从BvaultsBank提取7,804,239.1BUSD时,以BvaultsStrategy提取逻辑为准,按照ibBUSD的价格来换算,而iBUSD的价格高于BUSD,则7,804,239.1ibBUSD相当于8,016,006.1BUSD,凭空多出20多万BUSD。
值得注意的是,攻击者合约只能从bVaultsBank取出其中7,804,239.1BUSD,并再次存入用于第二轮攻击,加上上一轮未从BvaultsStrategy取出的部分,此时,BvaultsStrategy转入Alpaca借贷资金池的数额就变成了8,016,006.1BUSD。
攻击者重复操作,最终将7,806,580.4BUSD返还给闪电贷,造成近1,100万美元的损失。
bEarnFi在复盘此次攻击事件时写道:务必复核所有的产品代码,由于近期DeFi安全事件频繁发生,未来的工作重心将从创新调整到增强安全上来。?
事实上,每次DeFi安全事件发生后,区块链安全公司PeckShield「派盾」都会警示协议开发者引以为戒,在协议上线前对代码进行审计和研究,在攻击事件发生后自查代码,防患于未然,但说一千道一万都不及遭到损失数百上千万美元的教训来得深刻。
安全是DeFi生态愈发繁荣的前提,也是一切创新创造的根本,不要等到造成损失才审视安全的重要性。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。