zombie
> > > >
> > > >

補不完的漏洞!借貸平台 bZx 再度遭受攻擊,初估損失約 800 萬美金

2020/09/15 11:59
補不完的漏洞!借貸平台 bZx 再度遭受攻擊,初估損失約 800 萬美金
自從今年二月遭駭客攻擊,前後損失近 64 萬美元後,去中心化借貸協議 bZx 的表現一直不理想,用戶數也因為流動性挖礦機制在去中心化金融(DeFi)領域廣泛採用而不斷減少,就在人們幾乎快遺忘這個平台時,bZx 又再度佔據了新聞版面。

iToken 複製漏洞

bZx 於昨日(13日)再度遭到駭客攻擊,這次攻擊所導致的損失高達 800 萬美元,將當於 bZx 總鎖定資產的 30%。根據 Bitcoin.com 首席開發者 Marc Thelan 的說法,他是第一個發現合約漏洞,並提醒團隊立即停止合約功能的人。

1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu

— Marc Thalen (@MarcThalen) September 14, 2020

Marc Thelan 在推文中指出,他發現了 bZx 平台在鏈上的可疑交易,因此他照著攻擊者的步驟,將 100 USDC 打進平台作為抵押品,鑄造出 100 iUSDC,並將這 100 iUSDC 打到自己的地址,按理來說轉出地址與轉入地址一致的話餘額是不會產生任何變化的,但由於合約存在漏洞,導致地址餘額從 100 iUSDC 變成 200 iUSDC,最終 Marc Thelan 用 200 iUSDC 成功換回 200 USDC。換句話說,合約漏洞導致 iToken 可以被複製。
Marc Thelan 立即向 bZx 團隊發出警告,並表示攻擊者已藉由這個漏洞耗盡了資金池中大量的 Dai 和 USDC,Marc Thelan 補充表示,如果攻擊者有更多時間,可能整個資金池的資金都會被耗盡。

平台風險不容忽視

這次攻擊事件中損失的資產包括以太幣(ETH)、Chainlink(LINK)、USDC 與 DAI 等,總損失估計 800 萬美元。儘管該平台背後的保險基金會全額賠償這筆損失,而 bZx 團隊在暫停合約後,緊急修復並再度將合約重啟的做法,讓 Compound 創辦人難以認同,其表示:

「請先暫停所有合約功能直到所有審計和分析徹底完成,不要用一句「沒什麼大不了的」帶過。這不是你應對駭客的方式。」

If I understand correctly, bZx lost:

$2.6m of $LINK
$1.6m of $ETH
$3.8m of stablecoins
——
$8.0m
Please, please pause operations until this can be re-audited and thoroughly analyzed–instead of saying “no big deal”.
This is NOT how you respond to a hack ? https://t.co/CqZltmNt1o
— ? Leshner (@rleshner) September 14, 2020

這起事件再次點出了 DeFi 協議中用戶資產安全的重要性,用戶自身也不應該忽略平台的合約風險。正如 Aave 協議創辦人 Stani Kulechov 所說

「@bZxHQ 事件表明,分叉計有項目比從頭打造一個新的容易。這些代碼進行過多次審計與驗證,並且花了相當長的時間才上到主網。但儘管如此仍然不能保證絕對的安全,這是每個 DeFi 用戶都應該了解的。」

本文經授權轉載自鏈新聞

join Zombit

加入桑幣的社群平台,跟我們一起討論加密貨幣新資訊!

鏈新聞

台灣第一家專注區塊鏈及數位貨幣產業的傳媒,由台灣前知名大型公關、時尚雜誌及新聞台等專業人才組成,擁有專業公關、行銷、媒體等線上線下豐沛資源,致力於落實數位貨幣教育於社會大眾,並將讓更多台灣及國際用戶瞭解區塊鏈技術所帶來的美好生活體驗及投資理財。

桑幣熱門榜

關閉廣告 關閉廣告
zombie

桑幣正在徵文中,我們想要讓好的東西讓更多人看見!
只要是跟金融科技、區塊鏈及加密貨幣相關的文章,都非常歡迎向我們投稿
投稿信箱:[email protected]

為提供您更多優質的服務與內容,本網站使用 cookies 分析技術。若您繼續閱覽本網站內容,即表示您同意我們使用 cookies,關於更多相關隱私權政策資訊,請閱讀我們的隱私權及安全政策宣示