币价暴跌遇上黑客盗窃，越安全的协议才能活的越久

币跌了，或许有一天还能涨回来；但币丢了，或许就永远失去了。

5月19日，加密市场遭遇了史上最大规模的暴跌，万亿美元市值蒸发，惨烈程度超过了2019年的“3·12”。

如果你被市场暴击，然后又被黑客盗币，那就真的更加不幸了。

现实就是，在这场暴跌的同时，发生了数起规模千万甚至亿美金级别的黑客事件。

1.5月19日，Venus被人为导致大额清算，出现1亿多美元的坏账

2.5月16日，bEarn Fi遭受黑客攻击，损失1100万枚BUSD

3. 5月20日，BSC生态DeFi收益聚合器PancakeBunny遭黑客闪电贷攻击，损失约4500万美元

每周，甚至每天都有1个项目倒下。

币安智能链最近成为了掠食者猎物。黑客开始在这个复制以太坊代码的平台上享用大餐。

今天介绍的是最近黑客被吞食的一个协议——bEarn Fi，损失价值大约1100万美元的代币。

以下内容摘自Peckshield和bEarn攻击分析。

从2021年5月16日上午10:36:20 + UTC开始，BearnFi的BvaultsBank合约被黑客利用，大约1100万美元的资金从资金池中流失。

这起事件的原因是由于内部提款逻辑中的错误，该错误不一致地读取了相同的输入金额，但BvaultsBank与关联策略BvaultsStrategy之间的资产面额不同。

BvaultsBank的提款逻辑假定提款金额以BUSD计价，而BvaultsStrategy的提款逻辑假定提款金额以ibBUSD计价。

但是，ibBUSD是带息的代币，比BUSD贵。

1.通过闪电贷从CREAM借入7,804,239.111784605253208456枚BUSD, 在最后一步将这笔贷款还上并支付必要的手续费来覆盖闪电贷的成本。

2.将借入的BUSD资金存入BvaultsBank，并立即发送到相关的BvaultsStrategy策略，然后发送到Alpaca Vault以获取收益。 由于上述这笔存款，Alpaca Vault同时铸造7,598,066.589501626344403426枚ibBUSD，并返回到BvaultsStrategy。

3.通过Alpaca FairLaunch，用收到的 7,598,066.589501626344403426枚ibBUSD进行挖矿。

4.将上面存入7,804,239.111784605253208533枚BUSD从BvaultsBank取出，然而这被错误地解释为提取7,804,239.111784605253208533枚ibBUSD，相当于8,016,006.09792806917101481枚BUSD。

5.接下来，该用户重复操作，仍将7,804,239.111784605253208533 BUSD存入BvaultsStrategy，再依次存入BvaultsBank。 但是，由于上一轮有此前剩余的资金，BvaultsStrategy会向用户记入8,016,006.09792806917101481枚BUSD，这笔钱再次通过Alpaca进行挖矿。

6.重复上述操作，持续积累，直到最后耗尽池中的资金。

7.最后一步，偿还在第一步中通过闪电贷借入的 7,806,580.383518140634784418枚BUSD。

攻击者通过上述攻击获得的资金最初存放在这个钱包中：https://bscscan.com/address/0x47f341d896b08daacb344d9021f955247e50d089。

BSC复制的代码为很多寻找协议漏洞的黑客提供了财富机会。当我们看到BSC生态上的TVL快速上涨和跌落，显然时间才是最昂贵的安全审计手段。

活的越长意味着越安全，反之，越安全意味着可以活的越长。