Kế hoạch bồi thường của bEarn sau việc Vault BUSD Alpaca bị khai thác

bEarn vô cùng lấy làm tiếc về sự cố này và những tổn thất kinh tế mà các thành viên trong cộng đồng phải gánh chịu. Họ hy vọng rằng các hoạt động đền bù sẽ có thể giúp ích cho vấn đề này. Thông qua đó, bEarn muốn cảm ơn tới cộng đồng của mình vì đã thấu hiểu và hỗ trợ giúp hệ sinh thái vượt qua các trở ngại trên con đường này. Cam kết của cộng đồng chính là động lực thúc đẩy bEarn làm việc chăm chỉ hơn mỗi ngày và vì vậy, bEarn hy vọng kế hoạch bồi thường này sẽ là phản chiếu cho những điều họ đã nói.

Điều gì đã xảy ra?

Chiến lược Vault BUSD Alpaca đã bị tấn công và bị rút sạch 10.859.319 BUSD ra khỏi pool. Sự cố bắt đầu lúc 10:36 AM, 16/05 (giờ UTC) – 05:36 PM (giờ Việt Nam). Điều mà bEarn muốn cộng đồng biết rằng, chỉ có Single stake BUSD Vault sử dụng Alpaca làm chiến lược nguồn bị ảnh hưởng. Vì vậy hãy yên tâm rằng phần còn lại của bVaults không có rủi ro gì, cũng như bất kỳ pool nào khác trong nền tảng cũng vậy.

Tại sao điều này lại xảy ra?

Sự cố này xảy ra do các chức năng Withraw (địa chỉ, uint256 wantAmount) không được thực hiện đúng: bEarn đã dùng phương pháp withdraw (rút) từ hợp đồng FairLaunch bằng BUSD trong khi lẽ ra nên sử dụng ibBUSD thay thế. Do đó, chiến lược này đã withdraw (rút) nhiều BUSD hơn mức cần thiết và số tiền bổ sung đã được sử dụng để gửi vào FairLaunch và điều này làm tăng số BUSD bị lock  trong hợp đồng trong khi không có khoản tiền nào được gửi vào.

BvaultsStrategy.alpaca.busd.sol Line #205

Sự cố đã xảy ra như thế nào? 

Giao dịch tấn công đầu tiên (xem link bscscan)

[1] Flash loan (được sử dụng cho Ethereum hoặc ERC20 chỉ được vay trong khoảng thời gian cần thiết để hoàn thành một block giao dịch trên blockchain. Miễn là khoản vay được trả lại trước khi block giao dịch tiếp theo bắt đầu thì người vay sẽ không phải chịu phí lãi suất) 7.8 triệu BUSD trên Cream 

[2] Gửi và rút (với nhiều BUSD hơn) trên bVaults. Lặp lại 30 lần 

[3] Cuối cùng đã rút 8.26 triệu BUSD. Hoàn trả flash loan 7.8 triệu BUSD cho Cream.Có tổng cộng 26 tấn công txs (xem link bscscan) và cuộc tấn công cuối cùng đã rút cạn với ước tính 10.86 triệu đô la.

bEarn đã làm gì ngay khi sự cố diễn ra?

  • Liên hệ với Binance Authorities (Cơ quan quản lý Binance) ngay lập tức nhằm chặn (các) hacker giao dịch.
  • Liên hệ các công ty kiểm toán (Certik, Peckshield) để phân tích sự cố và nhận phản hồi để bảo vệ số còn lại.
  • Tạm dừng ngay lập tức tất cả các tương tác ở các bVaults. Việc này đảm bảo rằng tất cả số quỹ còn lại của người dùng sẽ được giữ an toàn, bảo vệ các khoản đầu tư của cộng đồng, và lúc đó bEarn đã có đủ thời gian để đánh giá sự cố này. Vì tất cả tương tác đều tạm dừng nên đó là lý do tại sao hầu hết các bVault hiển thị số dư bằng không trong giao diện người dùng một khoảng thời gian nhất định.
  • Kêu gọi rút tất cả từ pool farming Alpaca trở lại vault (điều này sẽ được thực hiện sau 24h do Timelock được áp dụng khi có trường hợp khẩn cấp)
  • Tạo sao lưu dữ liệu tạm thời (Snapshot) cho số dư của người gửi trước cuộc tấn công để ghi lại và tính toán số tiền bồi thường chính xác.

Kế hoạch bồi thường 

bEarn sẽ tạo ra một quỹ bồi thường bao gồm kết hợp các quỹ tiết kiệm còn lại, Quỹ Dev, Quỹ DAO và một phần phí được tạo ra bởi giao thức. Chi tiết kế hoạch đang được thực hiện. Và trong khi đang chờ snapshot số dư để triển khai hợp đồng bồi thường thì dự thảo kế hoạch dưới đây sẽ giúp những người dùng bị ảnh hưởng đưa ra yêu cầu hoàn tiền lại theo cách thức sau:

  • 87,5% số tiền gửi ban đầu trong BUSD (ngay lập tức) 
  • 10% số tiền gửi ban đầu trong BDEX (token vesting trong 80 tuần, giống như team cốt lõi) 
  • 7,5% số tiền gửi ban đầu trong BDOv2 (ngay lập tức) 

Tóm lại, người dùng bị ảnh hưởng sẽ được nhận thêm khoảng bồi thường bằng 5% số tiền gửi của họ.

Lời kết

bEarn phải tận dụng thời gian này để xem lại tất cả các sản phẩm của mình. Rõ ràng là thời gian gần đây có rất nhiều cuộc tấn công xảy ra trên các dự án DeFi, trong tương lai, chắc chắn bEarn sẽ cần phải chuyển trọng tâm phát triển từ đổi mới qua tăng cường bảo mật. 

Như một cam kết về bảo mật và quản lý rủi ro, bất kỳ hay tất cả các bVaults mới từ hôm nay trở đi sẽ có giới hạn về số lượng tiền gửi và được thực hiện cho đến khi thực hiện xong quy trình kiểm toán đầy đủ và chiến lược sử dụng được thông qua. 

Về bEarn Fi 

bEarn Fi là một sản phẩm cross-chain trong không gian Tài chính phi tập trung (DeFi) mà cốt lõi của nó cung cấp tạo ra năng suất, thuật toán stablecoin, tổng hợp trò chơi, cầu nối chuỗi chéo, kho bạc, cho vay, DEX, cách tính năng suất, xổ số, NFTs và quản trị trên đa chuỗi: blockchain Binance Smart Chain (BSC) và blockchain Ethereum. 

Hãy theo dõi bEarn Fi trên Medium và các kênh khác để không bỏ lỡ bất kỳ tin tức cập nhật nào!

Nhóm thảo luận bEarn Fi VN: t.me/Bearn_Fi_vn

Nguồn: bEarn Fi

Theo dõi Facebook Telegram Bitcoincuatoi để cập nhật những thông tin về tiền mã hóa!

Nhóm thảo luận: Facebook Group | Telegram Group

*Thông tin trong bài viết chỉ mang mục đích chia sẻ và cung cấp kiến thức, không phải là lời khuyên đầu tư. “Do your own research!” Hãy tự nghiên cứu trước khi đưa ra quyết định đầu tư.

Leave a Comment