A DeFi platform „bEarn Fi” 105%-os kártérítést ígér 10 millió dolláros feltörés után, de vajon ez a helyes dolog?

Láncokon átívelő decentralizált finanszírozás (Defi) A bEarn Fi hozamgazdálkodási platform az intelligens szerződésében szereplő kizsákmányolás áldozatává vált vasárnap, lehetővé téve egy rosszindulatú felhasználó számára, hogy 10.85 millió dollár értékű Binance USD-t szippantson le (BUSD) stabil érméket az egyik trezorból.

„Kedves közösség, keményen dolgoztunk a helyzet kivizsgálásán. Részleteket publikáltunk a történt Alpaca BUSD kizsákmányolással kapcsolatban” – írta ma Twitteren bEarn.

📔bVaults BUSD Alpaca Strategy Exploit Post Mortem & Compensation Plan 📔

▪️Kedves közösség! Keményen dolgoztunk a helyzet kivizsgálásán.
▪️A következő cikkben közzétettük az Alpaca BUSD exploitjának részleteit:https://t.co/QbPOx6jODp pic.twitter.com/qVHuAeh7tX

- bEarn Fi (@BearnFi) May 16, 2021

A projekt szerint "post mortem” közleménye, a támadó egy hibát használt a bEarn úgynevezett „BUSD Alpaca stratégia” tárolójában.

„Az incidens a visszavonás funkció (cím, uint256 wantAmount) nem megfelelő megvalósítása miatt következett be. Átadtuk a módszer visszavonulását FairLaunch BUSD összeggel kötöttünk szerződést, miközben helyette ibBUSD összeget kellett volna használnunk” – magyarázták a fejlesztők.

Alapvetően az exploit lehetővé tette a támadó számára, hogy folyamatosan BUSD-t helyezzen be és vegye ki a trezorból, és minden alkalommal több érmét kapott, mint amennyit eredetileg letétbe helyezett. A támadás lebonyolításához a felhasználó először 7.8 millió dolláros BUSD kölcsönt vett fel a Cream Finance-től – egy másik DeFi platformtól –, és folyamatosan bombázta a bEarn trezort a be- és kimenő tranzakciók folyamatos áramlásával.

Végül a támadónak összesen 26 tranzakcióra volt szüksége ahhoz, hogy kiürítse a 10.85 millió dolláros BUSD-t.

Alpaka kompenzációs terv

A helyzet orvoslására a bEarn fejlesztői ígéretet tettek arra, hogy visszafizetik az összes olyan felhasználót, akit a visszaélés érintett – majd néhányat.

„Létrehozunk egy kompenzációs alapot, amely a fennmaradó megtakarított pénzeszközökből, a Dev Fund-ból, a DAO-alapból és a protokoll által generált díjak egy részéből áll majd. A terv részletein dolgozunk” – nyugtatta meg felhasználóit a bEarn.

Míg a fejlesztők jelenleg az egyenleg pillanatképére várnak a kompenzációs szerződés bevezetéséhez, egyelőre egy tervtervezetet tettek közzé. Eszerint a felhasználók végső soron veszteségük 105%-át különböző tokenekben kapják meg.

Ugyanis a kezdeti betét összegének 87.5%-a BUSD-ben és 7.5%-a BDOv2-ben azonnali kifizetésre kerül. Ezenkívül az érintett felhasználók betéteinek 10%-át BDEX tokenben kompenzálják – bár a folyamatban lévő megszolgálási folyamat miatt csak 80 hét múlva lesznek elérhetők.

A kockázat torz észlelése

Míg a bEarn ügyfelei határozottan örültek a hírnek, néhányan rámutattak arra, hogy a feltörés utáni azonnali kártérítés „eltorzult kockázatfelfogást” kelthet a DeFi-felhasználókban, és leértékelheti a biztosítási protokollokat.

„Úgy tűnik, általános témává válik a teljes kártérítés ígérete néhány órával a feltörés után. Ez torz kockázatfelfogást hoz létre a felhasználók számára, és rontja a biztosítási protokollok elfogadását. A DeFi messze túlnőtt azon az értéken, ahol ezek az elvárások igazak.” érvelt Banteg álnéven, az Yearn.Finance fő fejlesztője.

Tetszik, amit látsz? Feliratkozás a frissítésekre.

Forrás: https://cryptoslate.com/defi-platform-bearn-fi-promises-105-compensation-after-10-million-hack-but-is-it-the-right-thing/