BEA:bEarn Fi 黑客攻擊始末：代碼現“小”問題輕松得手1100 萬美元_BEAM

北京時間2021年5月16日晚上九點半左右，PeckShield「派盾」預警監測到，跨鏈智能收益與流動性聚合器bEarnFi遭到攻擊，損失近1,100萬美元。

PeckShield「派盾」安全人員追蹤和分析發現，此次攻擊始于bEarnFi機槍池代碼存在的「小問題」，以下是攻擊細節分析。

Moonbeam：為調查智能合約的安全事件，網絡已進入維護模式:8月2日消息，據Moonbeam官方通知，為調查部署在網絡上的智能合約的安全事件，網絡已進入維護模式。在此期間，網絡功能將受到限制，用戶將無法執行常規交易和智能合約交互。民主、質押、取消暫停和升級的能力將繼續有效。[2022/8/2 2:52:44]

值得注意的是，此次攻擊的本金是從CreamFinance的閃電貸借來的。

攻擊者從CreamFinance閃電貸借出7,804,239.1BUSD；

BeamX治理通證將于10月21日發布，可用Beam質押獲得:10月8日消息，Beam團隊官方宣布，BeamX發行的初始階段將從10月21日啟動，從Beam桌面和Web錢包開始。從安全審計到錢包發展和用戶界面的改進，此次發布將作為$BEAMX加密資產的第一個分配機制，Beam用戶可以用他們的$BEAM來獲得$BEAMX。

BeamX是正在構建的加密DeFi生態系統的治理通證，以及各種可以在Beam上運行的應用程序，包括穩定幣、借貸和去中心化交易所。這也代表了Beam去中心化的巨大轉變，從一個基礎模型到一個成熟的DAO。通過參與各種生態系統活動，為DAO治理的DeFi應用程序提供流動性或參與治理過程，可以獲得BeamX。[2021/10/8 20:13:46]

接著，攻擊者創建的合約將所借BUSD存入BvaultsBank后，這些BUSD立即存至BvaultsStrategy策略中，隨即轉存入Alpaca借貸資金池，此時，攻擊者可獲得借貸資金池返還給的ibBUSD合成資產作為用戶的抵押憑證。當退出時，用戶可以憑借該憑證贖回抵押在借貸資金池內的本金及其抵押期內所產生的利息。在這一步中，AlpacaVault鑄造了7,598,066.6ibBUSD返還至BvaultsStrategy；

律師事務所Beasley Law Office擬代表部分用戶對MakerDAO發起訴訟:律師事務所Beasley Law Office正在征集因0美元拍賣導致利益受損的MakerDAO用戶相關信息，希望代表他們發起一項針對MakerDAO基金會的訴訟。該事務所邀請該事件的受害者通過郵件提供自己的聯系信息、相關經歷和損失介紹，并號召大家將次信息轉發給其他受害者，每新增一個轉發用戶，可將該用戶的名稱填入到一份Google電子表格中。截至到目前為止，該表格中已經有39名提供相關信息的MakerDAO用戶。Beasley Law Office稱此舉并不是為了傷害Maker ，而是為了給此事的受害者帶來一份程序上的正義。

此前報道，上周加密貨幣市場發生劇烈波動，以太坊價格暴跌，大量MakerDAO協議上的貸款跌破抵押閾值，引發了清算程序，清算人可以通過拍賣形式獲得抵押的以太坊，但當時以太坊gas費激增導致網絡擁堵，部分清算人以價格為0的出價贏得拍賣。[2020/3/19]

合約利用所鑄造的7,598,066.6ibBUSD通過AlpacaFairLaunch進行挖礦；

當攻擊者合約從BvaultsBank提取7,804,239.1BUSD時，以BvaultsStrategy提取邏輯為準，按照ibBUSD的價格來換算，而iBUSD的價格高于BUSD，則7,804,239.1ibBUSD相當于8,016,006.1BUSD，憑空多出20多萬BUSD。

值得注意的是，攻擊者合約只能從bVaultsBank取出其中7,804,239.1BUSD，并再次存入用于第二輪攻擊，加上上一輪未從BvaultsStrategy取出的部分，此時，BvaultsStrategy轉入Alpaca借貸資金池的數額就變成了8,016,006.1BUSD。

攻擊者重復操作，最終將7,806,580.4BUSD返還給閃電貸，造成近1,100萬美元的損失。

bEarnFi在復盤此次攻擊事件時寫道：務必復核所有的產品代碼，由于近期DeFi安全事件頻繁發生，未來的工作重心將從創新調整到增強安全上來。?

事實上，每次DeFi安全事件發生后，區塊鏈安全公司PeckShield「派盾」都會警示協議開發者引以為戒，在協議上線前對代碼進行審計和研究，在攻擊事件發生后自查代碼，防患于未然，但說一千道一萬都不及遭到損失數百上千萬美元的教訓來得深刻。

安全是DeFi生態愈發繁榮的前提，也是一切創新創造的根本，不要等到造成損失才審視安全的重要性。

Tags：BEAUSDBUSDBEAMADABEAR幣FDUSD幣busd幣值得投資么Scotty Beam

DAI