Nền tảng canh tác tài chính phi tập trung (DeFi) chuỗi chéo mang lại lợi nhuận bEarn Fi đã trở thành nạn nhân của một vụ khai thác trong hợp đồng thông minh của mình vào Chủ nhật, cho phép một người dùng độc hại bòn rút tiền ổn định Binance USD (BUSD) trị giá 10,85 triệu đô la từ một trong các kho tiền của nó.
“Cộng đồng thân mến, chúng tôi đã làm việc chăm chỉ để điều tra tình hình. Chúng tôi đã công bố thông tin chi tiết liên quan đến việc khai thác Alpaca BUSD đã xảy ra, ”bEarn đã tweet hôm nay.
Chiến lược BUSD Alpaca của 📔bVaults Khai thác Sau khi chết và Kế hoạch bồi thường📔
▪️ Kính thưa cộng đồng, Chúng tôi đã rất nỗ lực trong việc điều tra tình hình.
▪️Chúng tôi đã công bố thông tin chi tiết về việc khai thác Alpaca BUSD đã xảy ra trong bài viết sau: https: //t.co/QbPOx6jODp pic.twitter.com/qVHuAeh7tX– bEarn Fi (@BearnFi) Ngày 16 tháng 5 năm 2021
Theo dự án của “thông báo khám nghiệm tử thi ”, kẻ tấn công đã sử dụng một lỗ hổng trong kho tiền được gọi là “chiến lược BUSD Alpaca” của bEarn.
“Sự cố là do thực hiện không đúng chức năng rút tiền (địa chỉ, uint256 wantAmount). Chúng tôi đã thông qua phương pháp rút tiền từ FairLaunch hợp đồng với số tiền BUSD trong khi chúng tôi nên sử dụng số tiền ibBUSD để thay thế, ”các nhà phát triển giải thích.
Về cơ bản, việc khai thác cho phép kẻ tấn công liên tục gửi và rút BUSD từ kho tiền, mỗi lần nhận được nhiều tiền hơn số tiền họ gửi ban đầu. Để tiến hành cuộc tấn công của họ, người dùng đầu tiên đã vay 7,8 triệu USD BUSD từ Cream Finance – một nền tảng DeFi khác – và tiến hành bắn phá kho tiền của bEarn với một luồng giao dịch vào / ra liên tục.
Cuối cùng, kẻ tấn công đã mất tổng cộng 26 giao dịch để tiêu hết 10,85 triệu đô la BUSD ước tính.
Kế hoạch bồi thường Alpaca
Để khắc phục tình trạng này, các nhà phát triển bEarn đã hứa sẽ hoàn lại tiền cho tất cả người dùng bị ảnh hưởng bởi việc khai thác — và sau đó là một số.
“Chúng tôi sẽ tạo một quỹ bồi thường bao gồm sự kết hợp của các khoản tiền tiết kiệm còn lại, Quỹ Dev, Quỹ DAO và một phần phí do giao thức tạo ra. Các chi tiết về kế hoạch đang được thực hiện ”, bEarn trấn an người dùng của mình.
Trong khi các nhà phát triển hiện đang chờ đợi ảnh chụp nhanh số dư để triển khai hợp đồng bồi thường, họ đã công bố một kế hoạch dự thảo cho thời điểm hiện tại. Theo đó, người dùng cuối cùng sẽ nhận được 105% số tiền thua lỗ của họ trong các mã thông báo khác nhau.
Cụ thể, 87,5% số tiền gửi ban đầu bằng BUSD và 7,5% bằng BDOv2 sẽ được trao ngay lập tức. Ngoài ra, 10% số tiền gửi của người dùng bị ảnh hưởng sẽ được đền bù bằng mã thông báo BDEX — mặc dù chúng sẽ chỉ có sẵn trong 80 tuần kể từ bây giờ do quá trình kiểm tra đang diễn ra.
Nhận thức sai lệch về rủi ro
Trong khi khách hàng của bEarn chắc chắn rất vui khi biết tin này, một số người chỉ ra rằng việc bồi thường ngay lập tức sau một vụ hack có thể tạo ra “nhận thức sai lệch về rủi ro” cho người dùng DeFi và làm mất giá trị các giao thức bảo hiểm.
“Việc hứa sẽ bồi thường đầy đủ chỉ vài giờ sau khi bị hack dường như đã trở thành một chủ đề phổ biến. Nó tạo ra một nhận thức sai lệch về rủi ro cho người dùng và làm tổn hại đến việc áp dụng các giao thức bảo hiểm. DeFi đã phát triển vượt xa giá trị mà những kỳ vọng này vẫn đúng, ” đã tranh luận về bút danh Banteg, một nhà phát triển cốt lõi tại Yearn.Finance.
.
