bEarn - REKT
매주 주말마다 하나씩 쓰러지고 있습니다.
바이낸스 스마트 체인은 이름이 알려지지 않은 똑똑한 포식자에게 손쉬운 먹잇감을 제공하고 있습니다.
냉혹한 해커들은 개발자들이 시간을 아끼려고 복사한 코드들을 마음껏 포식하고 있습니다.
새로운 한 주가 끝났고 또 다른 프로토콜도 끝났습니다.
bEarnFi에서 1800만 달러가 사라졌습니다.
다음은 Peckshield 와 bEarn analysis에서 가져온 내용입니다.
2021년 5월 16일 10:36:20 AM +UTC에 시작되어, BearnFi의 BvaultsBank 컨트랙트가 공격을 당했고 약 1800만 달러의 자금이 풀에서 사라졌습니다.
이번 사건은 내부 출금 로직에 버그가 있었기 때문에 가능했는데, 이는 BvaultsBank와 이에 연관된 BvaultsStrategy 전략이 같은 인풋 금액을 읽어 들이면서 서로 다른 단위로 받아들이는 것이었습니다.
BvaultsBank의 출금 로직은 출금 금액을 BUSD 단위로 가정하였고, BvaultsStrategy의 출금 로직은 출금 금액을 ibBUSD로 가정하였습니다.
그러나, ibBUSD 는 이자가 붙는(interest-bearing) 토큰으로 BUSD보다 비싼 가격을 가지고 있었습니다.
1: CREAM 에서 7,804,239.111784605253208456 BUSD만큼을 플래시 론으로 대출받고, 마지막 단계에서 플래시 론의 원금과 수수료를 모두 상환합니다.
2: 대출받은 자금을 BvaultsBank에 입금하고, 즉시 연관된 BvaultsStrategy 전략으로 전송한 후에, 일드를 받기 위해 Alpaca Vault 로 전송합니다. 이 입금으로, Alpaca Vault는 7,598,066.589501626344403426 ibBUSD를 주조하여 BvaultsStrategy로 전달합니다.
3: 전달받은 7,598,066.589501626344403426 ibBUSD 를 Alpaca FairLaunch를 통해 파밍합니다.
4: BvaultsBank에서 7,804,239.111784605253208533 BUSD 만큼을 출금 요청하는데, 이것은 7,804,239.111784605253208533 ibBUSD 출금 요청으로 받아들여지며, 이 금액은 8,016,006.09792806917101481 BUSD 상당의 가치를 지니고 있습니다.
5: 다음 단계에서 BvaultsBank에 다시 7,804,239.111784605253208533 BUSD를 입금하고, BvaultsStrategy로 전송합니다. 하지만 이번에는 이전 단계에서 얻어진 8,016,006.09792806917101481 BUSD 를 모두 사용하여 BvaultsStrategy에 전송하고, Alpaca를 통해서 일드를 얻습니다.
6: 위의 단계들을 반복하여 금액을 불리고, 최후에는 풀에서 자금을 전부 가져갑니다.
7: 플래시 론으로 대출받은 7,806,580.383518140634784418 BUSD를 상환합니다.
위의 공격과정에서 사용된 해커의 자금은 초기에 이 지갑에 있었습니다: 47f3.
새로운 한 주가 시작되었습니다. 해커는 더 부유해진 채로 본업으로 돌아간 것일까요, 아니면 관심을 덜 끌기 위해 주말에 공격한 것일까요?
복사된 BSC 코드들을 사용하는 유행은 프로토콜을 해킹하려는 개발자들에게 부를 가져다줄 수 있는 새로운 기회를 열어주었습니다. BSC에서 TVL이 빠르게 오르고 내리는 것을 보면서, 시간이 다른 것들보다 훨씬 더 가치 있는 오딧(audit)임이 더욱 분명해졌습니다.
오래 버티는 것이 곧 보안성이 높다는 것이며, 역도 성립합니다.
다음에 털리는 프로젝트가 나올 때까지 시간이 얼마나 걸릴까요?
Photography by Ray Metzker
REKT는 익명 작성자들에 의한 공공 플랫폼이며, REKT에 작성된 관점이나 내용에 대해서 그 어떤 책임도 지지 않습니다.
기부 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
disclaimer:
REKT는 당사 웹 사이트의 익명의 작성자 또는 REKT에 의해 게시되거나 관련된 서비스에서 게시되는 콘텐츠에 대해 어떠한 책임도 지지 않습니다. 당사는 익명 작성자들의 행동 및 게시물에 대한 규칙을 제공하지만, 익명의 작성자가 웹 사이트 또는 서비스에 게시, 전송 혹은 공유한 내용을 통제하거나 책임지지 않으며, 귀하가 웹 사이트 또는 서비스에서 직면할 수 있는 불쾌함, 부적절함, 음란함, 불법 또는 기타 해로운 콘텐츠에 대해서도 책임을 지지 않습니다. REKT는 당사 웹 사이트 또는 서비스 사용자의 온라인 또는 오프라인 행위에 대한 책임을 지지 않습니다.
추천 기사들......
포트리스 프로토콜(Fortress Protocol) - REKT
포트리스(요새)가 오라클 조작과 악의적인 거버넌스 법안으로 300만 달러를 도난당한 이후 폐허가 되었습니다. UI는 멈췄으나, 컨트랙트는 여전히 살아있습니다. 포트리스 생태계가 자금을 잃어버린 사용자들을 구제할까요?
MM 파이낸스(MM Finance) - REKT
매드 미어캣 파이낸스(미어캣 파이낸스와 다릅니다)가 DNS공격으로 200만 달러를 잃어버렸습니다. 백엔드 공격, 프론트엔드 공격, 대체 공격의 끝은 언제일까요?
새들 파이낸스 (Saddle Finance) - REKT 2
어제 새들 파이낸스에서 1100만 달러가 도난 당했으며, BlockSec의 도움으로 380만 달러를 되찾았습니다. "사용자들의 자산은 안전합니다"라고 주장했던 새들은, 나중에 안전하다고 말했던 것은 도난 당하지 않은 금액에 한한 것이었다고 정정했습니다. rekt.news는 도난 당한 1100만 달러가 안전하지 않다는 것을 확인했습니다.