跨链去中心化金融(DEFI)收益农业平台bEarn Fi在周日的智能合约中遭到了利用,使恶意用户窃取了价值10.85万美元的Binance USD(BUSD)从其中一个金库中提取的稳定币。
“亲爱的社区,我们一直在努力调查情况。 我们已经发布了有关发生的羊驼BUSD攻击的详细信息。” bEarn今天发推文。
VaultbVaults的BUSD羊驼策略利用事后和补偿计划📔
▪️尊敬的社区,我们一直在努力调查情况。
▪️我们已发布有关以下文章中发生的Alpaca BUSD攻击的详细信息:https://t.co/QbPOx6jODp pic.twitter.com/qVHuAeh7tX— bEarn Fi(@BearnFi) 2021 年 5 月 16 日
根据项目的 “验尸”公告,攻击者使用了bEarn所谓的“ BUSD Alpaca策略”金库中的一个漏洞。
“该事件是由于不正确执行撤回功能(地址,uint256 wantAmount)导致的。 我们通过了退出的方法 公平启动 与BUSD金额签订合同,而我们应该改用ibBUSD金额,”开发人员解释说。
基本上,此漏洞利用使攻击者能够连续从金库中存入BUSD和从中取出BUSD,每次接收的硬币数量都多于其最初存放的数量。 为了进行攻击,用户首先从另一个DeFi平台Cream Finance那里获得了7.8万美元的BUSD贷款,然后用不断进出的交易对bEarn的金库进行了轰炸。
最终,攻击者总共进行了26笔交易,以消耗掉估计的10.85万美元的BUSD。
羊驼毛补偿计划
为了解决这种情况,bEarn开发人员已承诺偿还所有受此漏洞影响的用户,然后再偿还一些。
“我们将创建一个补偿基金,其中将包括剩余的节余资金,开发基金,DAO基金以及该协议产生的一部分费用。 计划的详细信息正在制定中,” bEarn使用户放心。
当开发人员当前正在等待余额快照以部署补偿合同时,他们暂时发布了计划草案。 据此,用户最终将获得各种代币的105%的损失。
即,将立即发放BUSD初始存款金额的87.5%和BDOv7.5初始存款金额的2%。 此外,受影响的用户存款的10%将以BDEX代币补偿-尽管由于正在进行的归属过程,从现在起它们只能在80周内使用。
风险感知扭曲
尽管bEarn客户肯定很高兴听到这个消息,但有人指出,黑客入侵后立即进行赔偿可能会给DeFi用户和降低保险协议价值带来“扭曲的风险感知”。
“在骇客入侵几小时后承诺提供全额赔偿似乎已成为一个普遍主题。 它给用户带来了一种扭曲的风险感知,并损害了保险协议的采用。 DeFi的价值已经远远超过了这些期望的真实价值,” 笔名Banteg辩称是Yearn.Finance的核心开发人员。