自从今年二月遭骇客攻击,前后损失近 64 万美元后,去中心化借贷协议 bZx 的表现一直不理想,用户数也因为流动性挖矿机制在去中心化金融(DeFi)领域广泛采用而不断减少,就在人们几乎快遗忘这个平台时,bZx 又再度占据了新闻版面。
iToken 复制漏洞
bZx 于昨日(13日)再度遭到骇客攻击,这次 攻击 所导致的损失高达 800 万美元,将当于 bZx 总锁定资产的 30%。根据 Bitcoin.com 首席开发者 Marc Thelan 的说法,他是第一个发现合约漏洞,并提醒团队立即停止合约功能的人。
1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu
— Marc Thalen (@MarcThalen) September 14, 2020
Marc Thelan 在推文中指出,他发现了 bZx 平台在链上的可疑交易,因此他照着攻击者的步骤,将 100 USDC 打进平台作为抵押品,铸造出 100 iUSDC,并将这 100 iUSDC 打到自己的地址,按理来说转出地址与转入地址一致的话余额是不会产生任何变化的,但由于合约存在漏洞,导致地址余额从 100 iUSDC 变成 200 iUSDC,最终 Marc Thelan 用 200 iUSDC 成功换回 200 USDC。换句话说,合约漏洞导致 iToken 可以被复制。
Marc Thelan 立即向 bZx 团队发出警告,并表示攻击者已借由这个漏洞耗尽了资金池中大量的 Dai 和 USDC,Marc Thelan 补充表示,如果攻击者有更多时间,可能整个资金池的资金都会被耗尽。
平台风险不容忽视
这次攻击事件中损失的资产包括以太币(ETH)、Chainlink(LINK)、USDC 与 DAI 等,总损失估计 800 万美元。尽管该平台背后的保险基金会全额赔偿这笔损失,而 bZx 团队在暂停合约后,紧急修复并再度将合约重启的做法,让 Compound 创办人难以认同,其表示:
「请先暂停所有合约功能直到所有审计和分析彻底完成,不要用一句「没什么大不了的」带过。这不是你应对骇客的方式。」
If I understand correctly, bZx lost:
$2.6m of $LINK
$1.6m of $ETH
$3.8m of stablecoins
——
$8.0mPlease, please pause operations until this can be re-audited and thoroughly analyzed–instead of saying "no big deal".
This is NOT how you respond to a hack ? https://t.co/CqZltmNt1o
— ? Leshner (@rleshner) September 14, 2020
这起事件再次点出了 DeFi 协议中用户资产安全的重要性,用户自身也不应该忽略平台的合约风险。正如 Aave 协议创办人 Stani Kulechov 所说 :
「@bZxHQ 事件表明,分叉计有项目比从头打造一个新的容易。这些代码进行过多次审计与验证,并且花了相当长的时间才上到主网。但尽管如此仍然不能保证绝对的安全,这是每个 DeFi 用户都应该了解的。」
衍伸阅读
立即加入 Telegram 获得最完整的金融科技资讯、区块链新知、业界实例!