Протокол bEarn - REKT

Binance Smart Chain поставляет самую легкую добычу для анонимных супер-хищников.

Жестокосердные хакеры быстро управляются со скопированными кодами разработчиков, которые любят срезать углы.

Закончилась еще одна неделя, а вместе с ней и жизнь еще одного протокола.

Протокол bEarnFi потерял $11 миллионов.

Следующие данные взяты из анализа Peckshield и bEarn.

В 10:36:20 +UTC, 16 мая 2021, контракт BvaultsBank протокола BearnFi подвергся эксплоиту и примерно $11M фондов было слито из пула.

Инцидент стал возможным из-за бага во внутренней логике выводов, которая непоследовательно считывала одну и ту же сумму ввода, но с разными наименованиями активов между BvaultsBank и BvaultsStrategy.

Логика выводов BvaultsBank допускает, что выводимая сумма получает наименование в BUSD, в то время как логика выводов BvaultsStrategy допускает, что выводимая сумма получает наименование в ibBUSD.

Однако, ibBUSD - это токен, приносящий проценты и он дороже, чем BUSD.

1: Хакер взял флэш-займ у CREAM на 7,804,239.111784605253208456 BUSD, которые он вернул в последнем этапе вместе с комиссией, покрывающей стоимость займа.

2: Вложил одолженные фонды в BvaultsBank, где они незамедлительно были посланы в стратегию BvaultsStrategy, а затем в хранилище Alpaca Vault для получения прибыли. Благодаря вышеупомянутому вкладу, хранилище Alpaca Vault чеканит 7,598,066.589501626344403426 ibBUSD обратно в BvaultsStrategy.

3: Делает фарминг полученных 7,598,066.589501626344403426 ibBUSD через Alpaca FairLaunch.

4: Выводит 7,804,239.111784605253208533 BUSD из BvaultsBank, что было расценено как 7,804,239.111784605253208533 ibBUSD, эквивалент 8,016,006.09792806917101481 BUSD.

5: В следующем раунде пользователь снова вложил 7,804,239.111784605253208533 BUSD в BvaultsBank, и каскадом в BvaultsStrategy. Но, учитывая остаток от прошлого раунда, BvaultsStrategy кредитует пользователю 8,016,006.09792806917101481 BUSD, которые снова используются для получения прибыли через Alpaca.

6: Повторяет все шаги, чтобы продолжить накоплять кредит, и в итоге выходит, опустошив пул.

7: Выплатил флэш-займ в размере 7,806,580.383518140634784418 BUSD.

Фонды атакующего из вышеописанного эксплоита изначально хранились в этом кошельке: 47f3.

Новая неделя началась. Приступил ли хакер к своей повседневной рутине более богатым человеком, или он атакует по выходным, чтобы привлекать к себе меньше внимания?

Бум копий кодов в BSC создал множество новых возможностей для любого разработчика, стремящегося эксплуатировать протоколы.
TVL так быстро поднимается и падает на BSC, что становится еще более очевидным, что время - самый лучший аудитор.

Продолжительность жизни означает безопасность, и наоборот.

Сколько времени пройдет до следующего rekt?

Фотографии: Ray Metzker

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.