SharkTeam 2021-05-17 21:16

摘要:

张冠李戴-bEarn Fi被攻击事件分析

北京时间5月17日讯，DeFi 协议 bEarn Fi 被攻击，其 bVaults 的 BUSD-Alpaca 策略被攻击，池中近 1086 万枚 BUSD 被耗尽。其余的 bvault 以及平台其它资金池没有风险。

SharkTeam第一时间对此事件进行了跟踪，在bEarn Fi官方说明基础上进行了深入完整的事件分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

事件发生的交易地址：

0x603b2bbe2a7d0877b22531735ff686a7caad866f6c0435c37b7b49e4bfd9a36c

分析交易可知，这是一个闪电贷形式的攻击，攻击流程如下：

（1） 攻击者先从Cream借出大量的BUSD(约7百万)。

（2） 由于withdraw的问题，反复使用deposit和withdraw 会得到更多的资产。

（3） 所以在最后攻击者得到了约8百万的 BUSD，将7百万的BUSD归还闪电贷。

（4） 将剩余的BUSD卖出获利。

攻击事件发生的交易所在的合约地址：0x21125d94cfe886e7179c8d2fe8c1ea8d57c73e0e。

分析可知，是合约中的withdraw函数入参出现问题，将需要返回的 ibBUSD的值，错误的传值为BUSD的值，直接导致提出了更多价值的ibBUSD。

如下图所示，在BvaultsBank合约（0x11dffac3909df964aa083f23de63755a6c219c02）中的withdraw函数入参是BUSD的值，而在后面提取ibBUSD时，本应传ibBUSD的值，却依然传的是BUSD的值，直接导致提取出了更多的ibBUSD。

二、SharkTeam区块链安全知识课堂

此次事件是又一次与闪电贷攻击有关的区块链安全事件，DeFi项目的业务逻辑设计复杂，涉及的经济学计算和参数较多，却不同项目和协议之间可组合性极其丰富，很难预测，非常容易出现安全漏洞。如下表，利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷，已增加到16起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种。本次属于基于“技术漏洞”的黑客攻击。

三、安全建议

智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面111项审计内容，全面保障智能合约安全。

n SharkTeam为客户提供高级别的区块链安全服务，区块链安全专家团队7*24小时为智能合约提供全生命周期的安全保障，服务包括：VIP安全审计服务、VIP合规审计服务、安全事故应急响应等。

n SharkTeam也提供自动化审计工具，自动化审计以云服务的方式为用户提供服务。运用符号执行、形式化验证等智能合约分析技术，满足开发者智能合约日常审计需求。

来源：SharkTeam

和11万人同时接收最新行情资讯

搜“鸵鸟区块链”下载

和2万人一起加入鸵鸟社群

添加微信ID：Blockchain610

声明： 鸵鸟区块链所有发布内容均为原创或授权发布，如需转载，请务必注明文章作者以及来源：鸵鸟区块链（微信公众号：MyTuoniao），任何不尊重原创的行为鸵鸟区块链都将进行责任追究！鸵鸟区块链报道和发布内容，不构成任何投资建议。