鸵鸟区块链

2020年第三次攻击,这次bZx损失惨重

Kylin 2020-09-14 14:58 2831
摘要:

两家审计公司Peckshield和Certik正分析内部根本原因。

要点:

1、昨晚bZx再次受到攻击。

2、bZx联合创始人Kyle Kistner:两家审计公司Peckshield和Certik正分析内部根本原因。

今年2月,DeFi贷款协议bZx两次被爆漏洞。第一次被盗ETH金额约为350,000美元。三天后发生第二次攻击,第二次造成的损失大约是上次的两倍,损失2388枚ETH,价值约645000美元。

就在9月14日,bZx遭到今年第三次攻击,这次损失远远大于前两次,这次被盗4700枚ETH,原因是智能合约中的错误代码。

攻击者通过代码缺陷复制资产,或增加其iToken(bZx计息代币)的余额。注意到该错误几个小时后,bZx暂停了iToken的创建和刻录,暂停借贷。在修复代码后,恢复服务。

该漏洞使黑客铸造了219200 LINK(价值约260万美元),4503 ETH(〜160万美元),1,756,351 USDT(〜170万美元)1,412,048 USDC(〜140万美元)和667,989 DAI(〜680,000美元)。总计800万美元。 bZx表示,用户资金没有风险,因为损失由其保险基金承担。

9月14日,bZx官方发推称,在美东时间上午3:28(北京时间9月13日15:30),我们开始研究该协议TVL的下降。到美东时间上午6:18(北京时间9月13日18:30),我们确认几个iToken发生了重复事件。借贷暂时暂停。重复方法已从iToken合同代码中修补出来,并且协议已恢复正常运行。随后,1inch联合创始人Anton Bukov发推称攻击者在此次事件中盗取了约4700枚ETH,并附上被盗资金地址。

针对bZx协议被攻击一事,1inch联合创始人Anton Bukov发推表示,我们发现有人在两天前就发现了这个漏洞,将自己的余额增加到1.536亿枚iUSDT,并开始从USDT池中抽走,直到1.519亿枚iUSDT被销毁。bZx协议管理员似乎有170万美元被盗了。

以太坊开发人员Roman Semenov对此评论称,所以bZx协议管理员使用后门将其代币更新为未经验证状态,从而使他们可以销毁任何用户的资金。然后,在销毁一些参与黑客活动的用户的资金后,他们更新为带有bug修复的正常状态。

Bitcoin.com的首席工程师马克•塞伦(Marc Thalen)声称,他已经初步发现了这个漏洞。他说,超过2000万美元的bZx基金面临风险。Thalen自己尝试利用这个漏洞,用USDC(100美元)创建了一笔贷款。“从这里得到了iUSDC。然后把这个发送给自己,实际上是复制了资金。然后我提出索赔200美元。”

bZx的联合创始人Kyle Kistner表示,很难说这个关键的漏洞是如何被协议的两家审计公司Peckshield和Certik识别的。两家公司正在准备分析内部根本原因。

Peckshield表示,“一次审计并不能保证找到所有潜在问题。”但随着持续工作的进行,它正越来越接近将安全风险降到最低的目标。

一些行业专家希望bZx停止运营并重新审核其协议。然而,Kistner称,bZx安全审计人员“不建议采取这样的行动”。

这是bZx今年第三次遭到袭击。今年2月,该协议在两次攻击中损失了约99.5万美元。

周日的袭击导致bZx的总锁定价值(TVL)急剧下降了70%,仅为630万美元。Kistner告诉The Block,“在这个[DeFi]领域,事情变化得非常快”

当被问及bZx计划在受到攻击的情况下如何增强用户的信任时,Kistner:“我们希望创造出如此有吸引力的产品和激励结构,使用户无论对我们的品牌感觉如何,实质上都‘被迫’使用我们的产品。”

来源:theblockcrypto

==

和11万人同时接收最新行情资讯

搜“鸵鸟区块链”下载

和2万人一起加入鸵鸟社群

添加微信ID:tuoniao02


本文经「原本」原创认证,作者鸵鸟区块链,访问yuanben.io查询【3SS1GJ38】获取授权信息。

声明: 鸵鸟区块链所有发布内容均为原创或授权发布,如需转载,请务必注明文章作者以及来源:鸵鸟区块链(微信公众号:MyTuoniao),任何不尊重原创的行为鸵鸟区块链都将进行责任追究!鸵鸟区块链报道和发布内容,不构成任何投资建议。

Kylin

嗨!

691 篇 作品
236.16W 总阅读量