[该文章更新于2021年5月17日的 tuoniaox.com] 北京时间5月17日讯,DeFi 协议 bEarn Fi 被攻击,其 bVaults 的 BUSD-Alpaca 策略被攻击,池中近 1086 万枚 BUSD 被耗尽。其余的 bvault 以及平台其它资金池没有风险。 SharkTeam第一时间对此事件进行了跟踪,在bEarn Fi官方说明基础上进行了深入完整的事件分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。 一、事件分析 事件发生的交易地址: 0x603b2bbe2a7d0877b22531735ff686a7caad866f6c0435c37b7b49e4bfd9a36c 分析交易可知,这是一个闪电贷形式的攻击,攻击流程如下: (1) 攻击者先从Cream借出大量的BUSD(约7百万)。 (2) 由于withdraw的问题,反复使用deposit和withdraw 会得到更多的资产。 (3) 所以在最后攻击者得到了约8百万的 BUSD,将7百万的BUSD归还闪电贷。 (4) 将剩余的BUSD卖出获利。 攻击事件发生的交易所