EN
2020年第三次攻击,这次bZx损失惨重
要点:
1、昨晚bZx再次受到攻击。
2、bZx联合创始人Kyle Kistner:两家审计公司Peckshield和Certik正分析内部根本原因。
今年2月,DeFi贷款协议bZx两次被爆漏洞。第一次被盗ETH金额约为350,000美元。三天后发生第二次攻击,第二次造成的损失大约是上次的两倍,损失2388枚ETH,价值约645000美元。
就在9月14日,bZx遭到今年第三次攻击,这次损失远远大于前两次,这次被盗 4700枚ETH ,原因是智能合约中的错误代码。
攻击者通过代码缺陷复制资产,或增加其iToken(bZx计息代币)的余额。注意到该错误几个小时后,bZx暂停了iToken的创建和刻录,暂停借贷。在修复代码后,恢复服务。
该漏洞使黑客铸造了219200 LINK(价值约260万美元),4503 ETH(〜160万美元),1,756,351 USDT(〜170万美元)1,412,048 USDC(〜140万美元)和667,989 DAI(〜680,000美元)。总计800万美元。 bZx表示,用户资金没有风险,因为损失由其保险基金承担。
9月14日,bZx官方发推称,在美东时间上午3:28(北京时间9月13日15:30),我们开始研究该协议TVL的下降。到美东时间上午6:18(北京时间9月13日18:30),我们确认几个iToken发生了重复事件。借贷暂时暂停。重复方法已从iToken合同代码中修补出来,并且协议已恢复正常运行。随后,1inch联合创始人Anton Bukov发推称攻击者在此次事件中盗取了约4700枚ETH,并附上被盗资金地址。
针对 bZx 协议被攻击一事,1inch联合创始人Anton Bukov发推表示,我们发现有人在两天前就发现了这个漏洞,将自己的余额增加到1.536亿枚iUSDT,并开始从USDT池中抽走,直到1.519亿枚iUSDT被销毁。 bZx 协议管理员似乎有170万美元被盗了。
以太坊开发人员Roman Semenov对此评论称,所以 bZx 协议管理员使用后门将其代币更新为未经验证状态,从而使他们可以销毁任何用户的资金。然后,在销毁一些参与黑客活动的用户的资金后,他们更新为带有bug修复的正常状态。
Bitcoin.com的首席工程师马克•塞伦(Marc Thalen)声称,他已经初步发现了这个漏洞。他说,超过2000万美元的bZx基金面临风险。Thalen自己尝试利用这个漏洞,用USDC(100美元)创建了一笔贷款。“从这里得到了iUSDC。然后把这个发送给自己,实际上是复制了资金。然后我提出索赔200美元。”
bZx的联合创始人Kyle Kistner表示,很难说这个关键的漏洞是如何被协议的两家审计公司Peckshield和Certik识别的。两家公司正在准备分析内部根本原因。
Peckshield表示,“一次审计并不能保证找到所有潜在问题。”但随着持续工作的进行,它正越来越接近将安全风险降到最低的目标。
一些行业专家希望bZx停止运营并重新审核其协议。然而,Kistner称,bZx安全审计人员“不建议采取这样的行动”。
这是 bZx 今年第三次遭到袭击。今年2月,该协议在两次攻击中损失了约99.5万美元。
周日的袭击导致bZx的总锁定价值(TVL)急剧下降了70%,仅为630万美元。Kistner告诉The Block,“在这个[DeFi]领域,事情变化得非常快”
当被问及bZx计划在受到攻击的情况下如何增强用户的信任时,Kistner:“我们希望创造出如此有吸引力的产品和激励结构,使用户无论对我们的品牌感觉如何,实质上都‘被迫’使用我们的产品。”
来源:theblockcrypto
==
和11万人同时接收最新行情资讯
搜“鸵鸟区块链”下载
和2万人一起加入鸵鸟社群
添加微信ID:tuoniao02
