Nền tảng DeFi 'bEarn Fi' hứa hẹn bồi thường 105% sau vụ hack 10 triệu đô la, nhưng liệu đó có phải là điều đúng đắn?

Tài chính phi tập trung xuyên chuỗi (Defi) nền tảng canh tác năng suất bEarn Fi đã trở thành nạn nhân của một vụ khai thác trong hợp đồng thông minh của mình vào Chủ nhật, cho phép kẻ dùng độc hại bòn rút số tiền Binance USD trị giá 10.85 triệu đô la (BUSD) stablecoin từ một trong các kho tiền của nó.

“Cộng đồng thân mến, chúng tôi đã làm việc chăm chỉ để điều tra tình hình. Chúng tôi đã công bố thông tin chi tiết về vụ khai thác Alpaca BUSD đã xảy ra,” bEarn tweet hôm nay.

📔Chiến lược BUSD Alpaca của bVaults Khai thác kế hoạch trả thưởng và sau khi chết📔

▪️ Cộng đồng thân mến, Chúng tôi đã làm việc chăm chỉ để điều tra tình hình.
▪️Chúng tôi đã công bố thông tin chi tiết về vụ khai thác Alpaca BUSD đã xảy ra trong bài viết sau:https://t.co/QbPOx6jODp pic.twitter.com/qVHuAeh7tX

— bEarn Fi (@BearnFi) 16 Tháng Năm, 2021

Theo dự án của "thông báo khám nghiệm tử thi”, kẻ tấn công đã sử dụng một lỗ hổng trong kho tiền được gọi là “chiến lược BUSD Alpaca” của bEarn.

“Sự cố là do thực hiện không đúng chức năng rút (địa chỉ, uint256 wantAmount). Chúng tôi đã thông qua phương thức rút tiền từ Hội chợ khởi động ký hợp đồng với số tiền BUSD trong khi lẽ ra chúng tôi nên sử dụng số tiền ibBUSD thay thế,” các nhà phát triển giải thích.

Về cơ bản, việc khai thác cho phép kẻ tấn công liên tục gửi và rút BUSD từ kho tiền, mỗi lần nhận được nhiều tiền hơn số tiền họ gửi ban đầu. Để tiến hành cuộc tấn công, trước tiên, người dùng này đã vay khoản vay BUSD trị giá 7.8 triệu đô la từ Cream Finance — một nền tảng DeFi khác — và tiến hành tấn công kho tiền của bEarn bằng một loạt giao dịch vào/ra liên tục.

Cuối cùng, kẻ tấn công đã phải thực hiện tổng cộng 26 giao dịch để lấy đi số tiền ước tính 10.85 triệu USD bằng BUSD.

Kế hoạch bồi thường Alpaca

Để khắc phục tình trạng này, các nhà phát triển bEarn đã hứa sẽ hoàn trả cho tất cả người dùng bị ảnh hưởng bởi việc khai thác—và sau đó là một số người dùng.

“Chúng tôi sẽ tạo một quỹ bồi thường bao gồm sự kết hợp của số tiền tiết kiệm còn lại, Quỹ Dev, Quỹ DAO và một phần phí do giao thức tạo ra. Chi tiết về kế hoạch đang được hoàn thiện,” bEarn trấn an người dùng.

Trong khi các nhà phát triển hiện đang chờ ảnh chụp nhanh số dư để triển khai hợp đồng bồi thường, họ đã công bố một kế hoạch dự thảo vào thời điểm hiện tại. Theo đó, người dùng cuối cùng sẽ nhận được 105% số tiền thua lỗ của họ bằng nhiều loại token khác nhau.

Cụ thể, 87.5% số tiền gửi ban đầu bằng BUSD và 7.5% bằng BDOv2 sẽ được chuyển ngay lập tức. Ngoài ra, 10% số tiền gửi của người dùng bị ảnh hưởng sẽ được bồi thường bằng mã thông báo BDEX—mặc dù chúng sẽ chỉ khả dụng sau 80 tuần kể từ bây giờ do quá trình trao quyền đang diễn ra.

Nhận thức sai lệch về rủi ro

Trong khi khách hàng của bEarn chắc chắn rất vui khi biết tin này, một số người chỉ ra rằng việc bồi thường ngay lập tức sau vụ hack có thể tạo ra “nhận thức sai lệch về rủi ro” đối với người dùng DeFi và làm giảm giá trị các giao thức bảo hiểm.

“Hứa sẽ bồi thường đầy đủ chỉ vài giờ sau khi bị hack dường như đã trở thành một chủ đề phổ biến. Nó tạo ra nhận thức sai lệch về rủi ro cho người dùng và làm tổn hại đến việc áp dụng các giao thức bảo hiểm. DeFi đã phát triển vượt xa giá trị mà những kỳ vọng này là đúng,” lập luận với bút danh Banteg, nhà phát triển cốt lõi tại Yearn.Finance.

Cũng giống như những gì bạn thấy? Đăng ký để cập nhật.

Nguồn: https://cryptoslate.com/defi-platform-bearn-fi-promises-105-compensation-after-10-million-hack-but-is-it-the-right-thing/