GRIN:bEarn Fi 黑客攻擊始末：代碼現“小”問題輕松得手1100 萬美元_ABUSD幣

北京時間2021年5月16日晚上九點半左右，PeckShield「派盾」預警監測到，跨鏈智能收益與流動性聚合器bEarnFi遭到攻擊，損失近1,100萬美元。

PeckShield「派盾」安全人員追蹤和分析發現，此次攻擊始于bEarnFi機槍池代碼存在的「小問題」，以下是攻擊細節分析。

值得注意的是，此次攻擊的本金是從CreamFinance的閃電貸借來的。

Nansen：Azuki和Beanz持有者分別擁有94%、68%的Elementals:6月28日消息，Nansen在推特上就Azuki此前發布的聲明評論表示，Elementals是否為Azuki族社區帶來了新成員？Azuki持有者目前擁有94%的Elementals，Beanz持有者擁有68%的Elementals。

今日消息，Azuki或將向持有者空投“綠豆”NFT。多位社區成員發現，Elemental Beans合約地址部署了新的合約，名為Green Bean即綠豆，NFT總量為10000個，并可被轉移交易。[2023/6/28 22:06:05]

攻擊者從CreamFinance閃電貸借出7,804,239.1BUSD；

公鏈Solana宣布已購買加州Solana Beach當地高中體育場命名權:公鏈Solana營銷和增長負責人宣布，Solana已購買加州Solana Beach當地高中體育場的不限期命名權。[2021/4/2 19:39:30]

接著，攻擊者創建的合約將所借BUSD存入BvaultsBank后，這些BUSD立即存至BvaultsStrategy策略中，隨即轉存入Alpaca借貸資金池，此時，攻擊者可獲得借貸資金池返還給的ibBUSD合成資產作為用戶的抵押憑證。當退出時，用戶可以憑借該憑證贖回抵押在借貸資金池內的本金及其抵押期內所產生的利息。在這一步中，AlpacaVault鑄造了7,598,066.6ibBUSD返還至BvaultsStrategy；

Grin社區發布節點異常簡報，Beam基金會負責人提醒Grin代碼分支可能遭受相同攻擊:Grin社區發布此前“GRIN節點出現異常”概述表示，Grin需要范圍驗證（rangeproofs），以確保負承諾值不會造成通脹情景。如果沒有范圍驗證，就有可能創建交易輸出，通過使用負值來人為地增加供給。如果沒有有效的范圍驗證來驗證輸出是否為負值，惡意行為者就有可能創建包含負值輸出以及高價值輸出的交易，這些高價值輸出似乎可以與“將創建0個新代幣”平衡。在本例中，攻擊者嘗試利用漏洞“RangeProof的緩存驗證優化中沒有充分的驗證”。Grin ++用戶在驗證中發現，并由Grin++開發人員David Burkett轉發給Grin團隊的其他成員，同時還提供了一個修復程序來緩解錯誤的rangeproof緩存邏輯。

Beam基金會負責人Guy Corem表示，多節點實現（multiple node implementation）拯救了此次惡意攻擊。有一些Grin代碼分支沒有節點實現，很可能遭受了完全相同的攻擊。

此前消息，Grin網絡在區塊高度1136081出現無效交易，原因是范圍驗證緩存邏輯錯誤。為此，Grin已經發布v5.0.4版本對此進行修復，用戶須進行更新。[2021/3/21 19:04:31]

合約利用所鑄造的7,598,066.6ibBUSD通過AlpacaFairLaunch進行挖礦；

當攻擊者合約從BvaultsBank提取7,804,239.1BUSD時，以BvaultsStrategy提取邏輯為準，按照ibBUSD的價格來換算，而iBUSD的價格高于BUSD，則7,804,239.1ibBUSD相當于8,016,006.1BUSD，憑空多出20多萬BUSD。

值得注意的是，攻擊者合約只能從bVaultsBank取出其中7,804,239.1BUSD，并再次存入用于第二輪攻擊，加上上一輪未從BvaultsStrategy取出的部分，此時，BvaultsStrategy轉入Alpaca借貸資金池的數額就變成了8,016,006.1BUSD。

攻擊者重復操作，最終將7,806,580.4BUSD返還給閃電貸，造成近1,100萬美元的損失。

bEarnFi在復盤此次攻擊事件時寫道：務必復核所有的產品代碼，由于近期DeFi安全事件頻繁發生，未來的工作重心將從創新調整到增強安全上來。?

事實上，每次DeFi安全事件發生后，區塊鏈安全公司PeckShield「派盾」都會警示協議開發者引以為戒，在協議上線前對代碼進行審計和研究，在攻擊事件發生后自查代碼，防患于未然，但說一千道一萬都不及遭到損失數百上千萬美元的教訓來得深刻。

安全是DeFi生態愈發繁榮的前提，也是一切創新創造的根本，不要等到造成損失才審視安全的重要性。

Tags：USDBUSDBEAGRINusdc幣市值減少ABUSD幣BEATLES價格grin幣未來會漲上天

比特幣價格