Платформа DeFi bEarn Fi обещает 105% компенсацию после взлома на 10 миллионов долларов, но правильно ли это?

Платформа межсетевого децентрализованного финансирования (DeFi) для выращивания доходов bEarn Fi в воскресенье стала жертвой эксплойта в ее смарт-контракте, позволив злоумышленнику вывести из одного из своих хранилищ стейблкоины Binance USD (BUSD) на сумму 10,85 миллиона долларов.

«Уважаемое сообщество, мы усердно работали над расследованием ситуации. Мы опубликовали подробности о произошедшем эксплойте Alpaca BUSD», - написал сегодня bEarn.

📔bVaults BUSD Alpaca Strategy Exploit Post-Mortem & Compensation Plan📔

▪️Уважаемое сообщество, мы много работали над расследованием ситуации.
▪️Мы опубликовали подробную информацию об эксплойте Alpaca BUSD, который произошел в следующей статье: https: //t.co/QbPOx6jODp pic.Twitter.com/qVHuAeh7tX

- bEarn Fi (@BearnFi) 16 мая 2021 г.

Согласно «посмертному» анонсу проекта, злоумышленник использовал уязвимость в так называемом хранилище «BUSD Alpaca strategy» от bEarn.

«Инцидент произошел из-за неправильной реализации функции вывода (адрес, uint256 wantAmount). Мы передали метод вывода из контракта FairLaunch с суммой BUSD, тогда как вместо нее мы должны были использовать сумму ibBUSD», - пояснили разработчики.

По сути, эксплойт позволял злоумышленнику непрерывно вносить и выводить BUSD из хранилища, каждый раз получая больше монет, чем было изначально внесено. Для проведения атаки пользователь сначала взял ссуду BUSD в размере 7,8 млн долларов от Cream Finance - другой платформы DeFi - и начал бомбардировать хранилище bEarn постоянным потоком входящих / исходящих транзакций.

В конечном итоге злоумышленнику потребовалось в общей сложности 26 транзакций, чтобы вывести из BUSD около 10,85 миллиона долларов.

План компенсации альпака

Чтобы исправить ситуацию, разработчики bEarn пообещали возместить расходы всем пользователям, пострадавшим от эксплойта, а затем и некоторым.

«Мы создадим компенсационный фонд, который будет состоять из комбинации оставшихся сэкономленных средств, Dev Fund, DAO Fund и части комиссий, генерируемых протоколом. Детали плана в настоящее время прорабатываются», - заверил пользователей bEarn.

Пока разработчики ждут моментального снимка баланса для развертывания контракта о компенсации, они пока опубликовали черновой вариант плана. Согласно ему, пользователи в конечном итоге получат 105% своих потерь в различных токенах.

А именно, 87,5% от суммы начального депозита в BUSD и 7,5% в BDOv2 будут выданы сразу. Кроме того, 10% депозитов затронутых пользователей будут компенсированы в токенах BDEX, хотя они будут доступны только через 80 недель из-за продолжающегося процесса перехода прав.

Искаженное восприятие риска

Хотя клиенты bEarn определенно были рады услышать эту новость, некоторые отметили, что немедленная выплата компенсаций после взлома может создать «искаженное восприятие риска» для пользователей DeFi и обесценить протоколы страхования.

«Обещание полной компенсации всего через несколько часов после взлома, кажется, стало обычной темой. Это создает искаженное восприятие риска для пользователей и мешает внедрению страховых протоколов. Значение DeFi намного превзошло те значения, при которых эти ожидания оправдались, "утверждал псевдоним Бантег, основной разработчик в Yearn.Finance.